Сравниваем код модульных APT-бэкдоров

В июле 2020 года мы выпустили исследование целевых атак на государственные учреждения Казахстана и Киргизии с подробным разбором вредоносных программ, найденных в скомпрометированных сетях. Список тогда получился настолько внушительный, что одни только IoC’и заняли несколько страниц текста. В процессе расследования этих инцидентов среди прочего ВПО мы изучили образцы мультимодульных бэкдоров PlugX, которые использовались для первичного заражения локальных сетей пострадавших организаций. Применение программ этого семейства свидетельствует о возможной причастности к атакам китайских APT-групп. Главный объект изучения сегодняшней статьи — бэкдор ShadowPad — попал в нашу вирусную лабораторию с одного из зараженных компьютеров локальной сети госучреждения Киргизии. Различные модификации этого семейства являются известным инструментом Winnti — APT-группы предположительно китайского происхождения, активной как минимум с 2012 года. В ходе экспертизы мы также обнаружили несколько модификаций PlugX, установленных на том же компьютере. Рассмотрим некоторые алгоритмы работы обоих бэкдоров и уделим внимание сходствам в коде, а также некоторым пересечениям в их сетевой инфраструктуре. Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Объявлены победители международной премии Workspace Digital Awards-2024
• <Cookie> ctrl+c ctrl+v: автоматизируем прохождение авторизации в DAST
• Конкурс Рейтинг Рунета-2024 открыл приём сайтов и приложений
• Социально-этичный маркетинг: в чём суть и как внедрить концепцию?
• Ландшафт угроз информационной безопасности последних лет. Часть 2
• Реализация SHA256 и SHA512 на языке RUST
• Вспомнить за майские: 20 шагов для апгрейда информационной безопасности
• (Не) безопасный дайджест: открытый сервер, морская утечка и атака на цепочку поставок
• Неожиданности IPv6, или почему тупят Instagram и WhatsApp через прокси и VPN
• [Перевод] Бэкдор в основной версии xz/liblzma, ведущий к компрометации SSH-сервера