Иллюзия безопасности сохраняется ровно до того момента, пока не становится слишком поздно.
Группа APT41 провела кибератаку на сектор азартных игр, действуя скрытно и адаптируя свои инструменты под ИБ-активность. Это киберпреступное объединение, также известное как Brass Typhoon, Earth Baku, Wicked Panda и Winnti, находилось в сетях клиента из вышеуказанной отрасли в течение почти девяти месяцев, собирая конфиденциальные данные и обходя системы безопасности.
Израильская компания Security Joes, участвовавшая в расследовании инцидента, сообщила, что атакующие извлекали сетевые конфигурации, пароли пользователей и данные из процесса LSASS. Основатель компании Идо Наор отметил: «Хакеры модифицировали инструменты на основе действий защитников, поддерживая доступ и незаметно изменяя стратегии».
В ходе атаки использовались методы, аналогичные тем, что наблюдаются в «Операции Crimson Palace», отслеживаемой компанией Sophos. Наор также подчеркнул, что вредоносная кампания, вероятно, имела финансовую мотивацию, несмотря на государственную поддержку.
APT41 применила сложный набор тактик для обхода защитных мер и создания скрытых каналов удалённого доступа. Одним из методов атаки стал DCSync — сбор хешей паролей для захвата учётных записей администратора и расширения доступа. Также использовались атаки Phantom DLL Hijacking и легитимные системные утилиты, такие как «wmic.exe».
Хотя точный способ проникновения в сеть остаётся неизвестным, вероятно, использовались фишинговые письма, поскольку уязвимости внешних приложений или воздействия на цепочку поставок не обнаружены. После проникновения атакующие сосредоточились на учётных записях администраторов и разработчиков для сохранения контроля над инфраструктурой.
Исследователи Security Joes выявили, что злоумышленники на время прекратили свою активность после обнаружения, но позже вернулись с обновлённым подходом. Они использовали обфусцированный JavaScript-код в файле XSL для выполнения вредоносных команд через утилиту WMIC.
Особенностью кампании стало фильтрование заражённых устройств по IP-адресам, содержащим подстроку «10.20.22», что указывает на целевое использование VPN-сетей. Этот подход позволял злоумышленникам поражать только интересующие их устройства.
Спойлер: мы раскрываем их любимые трюки