Серию кибератак приписывают группировке Billbug.
В одном из своих последних отчетов ИБ-специалисты Symantec рассказали про группировку Billbug, за деятельностью которой они следят с 2018 года. Одна из последних атак злоумышленников нацелена на компанию, предоставляющую услуги сертификации. По мнению экспертов, так хакеры хотели получить подписи для своего вредоносного ПО, чтобы усложнить обнаружение или расшифровку трафика.
Symantec не смогла выяснить как Billbug получает первоначальный доступ к сетям жертв, но видела доказательства того, что это происходит с помощью эксплуатации известных уязвимостей в популярных приложениях. Как и в других своих кампаниях, Billbug комбинирует инструменты, используемые в системах жертв, различные утилиты и собственные вредоносные программы. Инструментарий хакеров выглядит так:
-
AdFind
-
Winmail
-
WinRAR
-
Ping
-
Tracert
-
Route
-
NBTscan
-
Certutil
-
Port Scanner
AdFind
Winmail
WinRAR
Ping
Tracert
Route
NBTscan
Certutil
Port Scanner
Эти инструменты помогают киберпреступникам слиться с обычными процессами и не оставлять после себя подозрительных следов в логах.
Но в арсенале группировки есть и более экзотическое оружие, которое она часто применяет в ходе атак:
-
Stowaway, многоуровневый прокси-инструмент на базе Go;
-
Бэкдор Hannotog позволяет изменять настройки брандмауэра, закрепляться на взломанной машине, загружать зашифрованные данные, выполнять произвольные команды;
-
Бэкдор Sagerunex развертывается с помощью Hannotog и внедряется в процесс "explorer.exe". Затем он записывает логи в локальный временный файл, зашифрованный с помощью алгоритма AES (256-бит). Конфигурация и состояние бэкдора также хранятся локально и шифруются алгоритмом RC4, причем ключи для обоих алгоритмов жестко закодированы во вредоносной программе. Затем Sagerunex подключается к C&C-серверу через HTTPS для отправки списка активных прокси-серверов и файлов, а также получает от операторов полезную нагрузку и shell-команды. Более того, он может выполнять программы и DLL, используя "runexe" и "rundll".
Stowaway, многоуровневый прокси-инструмент на базе Go;
Бэкдор Hannotog позволяет изменять настройки брандмауэра, закрепляться на взломанной машине, загружать зашифрованные данные, выполнять произвольные команды;
Бэкдор Sagerunex развертывается с помощью Hannotog и внедряется в процесс "explorer.exe". Затем он записывает логи в локальный временный файл, зашифрованный с помощью алгоритма AES (256-бит). Конфигурация и состояние бэкдора также хранятся локально и шифруются алгоритмом RC4, причем ключи для обоих алгоритмов жестко закодированы во вредоносной программе. Затем Sagerunex подключается к C&C-серверу через HTTPS для отправки списка активных прокси-серверов и файлов, а также получает от операторов полезную нагрузку и shell-команды. Более того, он может выполнять программы и DLL, используя "runexe" и "rundll".
Следы этих инструментов в сетях жертв и вывели Symantec на Billbug, так как хакеры часто использовали их в своих предыдущих операциях.
Источник: securitylab