Невидимые воры: как APT41 скрывала следы своей активности почти год

Невидимые воры: как APT41 скрывала следы своей активности почти год

Иллюзия безопасности сохраняется ровно до того момента, пока не становится слишком поздно.

image

Группа APT41 провела кибератаку на сектор азартных игр, действуя скрытно и адаптируя свои инструменты под ИБ-активность. Это киберпреступное объединение, также известное как Brass Typhoon, Earth Baku, Wicked Panda и Winnti, находилось в сетях клиента из вышеуказанной отрасли в течение почти девяти месяцев, собирая конфиденциальные данные и обходя системы безопасности.

Израильская компания Security Joes, участвовавшая в расследовании инцидента, сообщила, что атакующие извлекали сетевые конфигурации, пароли пользователей и данные из процесса LSASS. Основатель компании Идо Наор отметил: «Хакеры модифицировали инструменты на основе действий защитников, поддерживая доступ и незаметно изменяя стратегии».

В ходе атаки использовались методы, аналогичные тем, что наблюдаются в «Операции Crimson Palace», отслеживаемой компанией Sophos. Наор также подчеркнул, что вредоносная кампания, вероятно, имела финансовую мотивацию, несмотря на государственную поддержку.

APT41 применила сложный набор тактик для обхода защитных мер и создания скрытых каналов удалённого доступа. Одним из методов атаки стал DCSync — сбор хешей паролей для захвата учётных записей администратора и расширения доступа. Также использовались атаки Phantom DLL Hijacking и легитимные системные утилиты, такие как «wmic.exe».

Хотя точный способ проникновения в сеть остаётся неизвестным, вероятно, использовались фишинговые письма, поскольку уязвимости внешних приложений или воздействия на цепочку поставок не обнаружены. После проникновения атакующие сосредоточились на учётных записях администраторов и разработчиков для сохранения контроля над инфраструктурой.

Исследователи Security Joes выявили, что злоумышленники на время прекратили свою активность после обнаружения, но позже вернулись с обновлённым подходом. Они использовали обфусцированный JavaScript-код в файле XSL для выполнения вредоносных команд через утилиту WMIC.

Особенностью кампании стало фильтрование заражённых устройств по IP-адресам, содержащим подстроку «10.20.22», что указывает на целевое использование VPN-сетей. Этот подход позволял злоумышленникам поражать только интересующие их устройства.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь