Исследователи «Лаборатории Касперского» раскрыли детали продуманной кампании, нацеленной на кражу информации из нескольких отраслей промышленности Японии. Атакующие разворачивают на заражённых машинах сразу несколько бэкдоров, а сама операция построена так, чтобы как можно дольше оставаться незамеченной.
Кампанию назвали «A41APT». За ней стоит хорошо известная группировка APT10 (также фигурирует под именами Stone Panda и Cicada). На этот раз злоумышленники применили ранее не описанное вредоносное ПО и доставляли жертвам до трёх разных полезных нагрузок: SodaMaster, P8RAT и FYAnti.
Долгая разведывательная операция
Эта операция по сбору разведывательной информации впервые попала в поле зрения в марте 2019 года, а следы активности фиксировались вплоть до ноября 2020 года — тогда появились сообщения об атаках на связанные с Японией компании более чем в 17 регионах мира. Новую волну атак, обнаруженную «Лабораторией Касперского», датируют январём 2021 года.
Первоначальное проникновение происходит через злоупотребление SSL-VPN: атакующие эксплуатируют неустранённые уязвимости или используют украденные учётные данные. Дальше в ход идёт многоступенчатая цепочка заражения.
Многослойный загрузчик Ecipekac
В центре кампании — вредоносная программа Ecipekac. Её название — это перевёрнутое «Cake piece» («кусок торта»), только с опечаткой. Ecipekac проходит через «сложную схему загрузки» из четырёх слоёв: четыре файла последовательно загружают и расшифровывают четыре бесфайловых модуля-загрузчика, чтобы в итоге поднять в память финальную полезную нагрузку.
Основная задача P8RAT и SodaMaster — скачивать и запускать нагрузки, которые они получают с подконтрольного атакующим сервера. При этом расследованию «Лаборатории Касперского» так и не удалось выяснить, что именно доставлялось на целевые Windows-системы.
Третья нагрузка, FYAnti, сама по себе представляет многослойный загрузчик: она проходит ещё через два последовательных уровня и в итоге разворачивает троян удалённого доступа QuasarRAT (он же xRAT).
Ставка на скрытность
«Операции и импланты этой кампании... поразительно скрытны, из-за чего отслеживать действия группировки крайне сложно», — отметил исследователь «Лаборатории Касперского» Сугуру Исимару. По его словам, главные приёмы маскировки — это бесфайловые импланты, обфускация, противодействие анализу в виртуальных машинах (anti-VM) и удаление следов активности.
Источник: The Hacker News.