Новости Неизвестная китайская группировка использует кастомные загрузчики Cobalt Strike

[NewsMaker]

Хакерам удавалось 2,5 года незаметно устанавливать бэкдоры на устройства.​

---

---

Исследователи ИБ-компании Trend Micro обнаружили ранее неизвестную китайскую Cobalt Strike для установки постоянных бэкдоров в системы жертв.

Согласно Для просмотра ссылки Войди или Зарегистрируйся Trend Micro, у Earth Longzhi такие же Для просмотра ссылки Войди или Зарегистрируйся , что и у группы Earth Baku. Считается, что обе группы входят в состав крупной поддерживаемой государством группировки APT41.

---

---

Связь групп с APT41

Отчет Trend Micro иллюстрирует две кампании, проведенные Earth Longzhi, первая из которых проводилась в период с мая 2020 года по февраль 2021 года. За это время хакеры атаковали несколько инфраструктурных компаний и правительственную организацию на Тайване, а также банк в Китае.

Хакеры использовали специальный загрузчик Cobalt Strike под названием «Symatic», который имеет сложную систему защиты от обнаружения, включающую следующие функции:

• Удаление перехватчика API из «ntdll.dll», получение необработанного содержимого файла и замена образа «ntdll» в памяти копией, не отслеживаемой средствами безопасности;
• Создание нового процесса для атаки Для просмотра ссылки Войди или Зарегистрируйся и маскировка родительского процесса, чтобы запутать цепочку;
• Внедрение расшифрованной полезной нагрузки во вновь созданный процесс.

Для своих основных операций Earth Longzhi использовала универсальный хакерский инструмент, который объединял различные общедоступные инструменты в одном пакете. Этот инструмент может:

• открывать прокси-сервер SOCKS5;
• выполнять сканирование паролей на серверах MS SQL;
• отключать защиту файлов Windows;
• изменять временные метки файлов;
• сканировать порты;
• запускать новые процессы;
• перечислять файлы на дисках;
• выполнять команды с помощью «SQLExecDirect».

Вторая кампания, за которой наблюдала Trend Micro, длилась с августа 2021 года по июнь 2022 года и была нацелена на страховые и городские компании на Филиппинах и авиационные компании в Таиланде и на Тайване.

В этих атаках Earth Longzhi развернула новый набор пользовательских загрузчиков Cobalt Strike с различными функциями, среди которых содержится загрузчик BigpipeLoader.

---

---

Загрузчики, использованные в кампании Earth Longzhi

BigpipeLoader использует неопубликованную загрузку DLL (WTSAPI32.dll) в легитимном приложении (wusa.exe) для запуска загрузчика (chrome.inf) и внедрения Cobalt Strike в память.

---

---

Работа загрузчика

BigpipeLoader

После запуска Cobalt Strike на цели хакеры используют специальную версию Mimikatz для кражи учетных данных и используют эксплойты «Для просмотра ссылки Войди или Зарегистрируйся » и «PrintSpoofer» для повышения привилегий. Чтобы отключить продукты безопасности на хосте, Earth Longzhi использует инструмент ProcBurner для завершения определенных запущенных процессов.

Следуя этой тактике, Earth Longzhi удалось оставаться незамеченной в течение как минимум 2,5 лет, и после их обнаружения исследователями Trend Micro они, вероятно, перейдут на новую тактику.