Серию кибератак приписывают группировке Billbug.
В одном из своих Для просмотра ссылки Войди
Symantec не смогла выяснить как Billbug получает первоначальный доступ к сетям жертв, но видела доказательства того, что это происходит с помощью эксплуатации известных уязвимостей в популярных приложениях. Как и в других своих кампаниях, Billbug комбинирует инструменты, используемые в системах жертв, различные утилиты и собственные вредоносные программы. Инструментарий хакеров выглядит так:
- AdFind
- Winmail
- WinRAR
- Ping
- Tracert
- Route
- NBTscan
- Certutil
- Port Scanner
Эти инструменты помогают киберпреступникам слиться с обычными процессами и не оставлять после себя подозрительных следов в логах.
Но в арсенале группировки есть и более экзотическое оружие, которое она часто применяет в ходе атак:
- Stowaway, многоуровневый прокси-инструмент на базе Go;
- Бэкдор Hannotog позволяет изменять настройки брандмауэра, закрепляться на взломанной машине, загружать зашифрованные данные, выполнять произвольные команды;
- Бэкдор Sagerunex развертывается с помощью Hannotog и внедряется в процесс "explorer.exe". Затем он записывает логи в локальный временный файл, зашифрованный с помощью алгоритма AES (256-бит). Конфигурация и состояние бэкдора также хранятся локально и шифруются алгоритмом RC4, причем ключи для обоих алгоритмов жестко закодированы во вредоносной программе. Затем Sagerunex подключается к C&C-серверу через HTTPS для отправки списка активных прокси-серверов и файлов, а также получает от операторов полезную нагрузку и shell-команды. Более того, он может выполнять программы и DLL, используя "runexe" и "rundll".
Следы этих инструментов в сетях жертв и вывели Symantec на Billbug, так как хакеры часто использовали их в своих предыдущих операциях.
- Источник новости
- https://www.securitylab.ru/news/534802.php