- 13,854
- 20
- 8 Ноя 2022
Кибершпионы атакуют почтовые клиенты, обходя даже самые мощные системы безопасности.
Специалисты по кибербезопасности из Центра киберразведки QiAnXin Для просмотра ссылки Войдиили Зарегистрируйся об обнаружении новой угрозы со стороны группы APT-Q-12, известной также под названием «Pseudo Hunter». Эта кибершпионская группа, имеющая корни в Северо-Восточной Азии, нацелена на государства и компании в Восточной Азии, включая Китай, Северную и Южную Корею, а также Японию.
Впервые о деятельности группы стало известно в 2021 году, когда эксперты QiAnXin опубликовали соответствующий технический отчёт. Однако корни её атак прослеживаются до 2017 года, когда было выявлено пересечение с действиями другой известной группы Darkhotel.
После 2019 года активность, связанная с группой Darkhotel, начала снижаться, что привело к появлению новых кибершпионских групп, таких как APT-Q-11, APT-Q-12, APT-Q-14 и другие. Эти группы, используя различные тактики и методы, сосредоточились на атаках на правительственные и корпоративные цели, причём, как выяснили специалисты, многие из них являются продолжением или ответвлением деятельности Darkhotel.
Основным методом шпионажа APT-групп, включая APT-Q-12, является использование сложных плагинов, которые позволяют злоумышленникам быстро и эффективно извлекать нужные данные из целевых систем. Например, в одной из операций, получившей название «ShadowTiger», использовались плагины для сканирования файловой структуры и загрузки документов на серверы злоумышленников.
Особое внимание APT-Q-12 уделяет сбору информации о поведении жертв, используя продуманные методы фишинга и внедрение шпионских кодов в популярные почтовые и офисные приложения. Группа разрабатывает и внедряет различные виды вредоносных программ, адаптированных под конкретные платформы, будь то настольные компьютеры, мобильные устройства или корпоративные серверы.
Одним из наиболее значимых открытий со стороны киберпреступников стало обнаружение Zero-day уязвимостей в почтовых клиентах на платформе Windows. Так, APT-Q-12 использует сложные методы атак, которые включают в себя исполнение вредоносного кода через уязвимости в браузерах и почтовых приложениях, что позволяет им проникать в системы и устанавливать контроль.
В ходе анализа было выявлено несколько видов вредоносных программ, среди которых особо выделяется троян, который устанавливается в систему через цепочку действий с использованием скриптов и специальных команд. Этот троян предназначен для захвата и передачи конфиденциальной информации, что делает его мощным инструментом в руках злоумышленников.
APT-Q-12 также использует плагины для захвата ввода с клавиатуры и сбора информации о действиях пользователей, что даёт возможность отслеживать их повседневную активность и выявлять ценные данные, такие как пароли и другие учётные данные. Затем эти данные шифруются и передаются на серверы злоумышленников для дальнейшего анализа и использования.
Для защиты от таких угроз специалисты рекомендуют использовать современные EDR -системы, которые могут эффективно обнаруживать и предотвращать атаки на ранних этапах. Современные ИБ-решения, основанные на данных киберразведки, становятся всё более необходимыми в условиях набирающих обороты угроз в регионе Восточной Азии.
APT-Q-12 продолжает развивать свои методы атак, что представляет серьёзную угрозу для безопасности стран и компаний в этом регионе. Специалисты продолжают следить за их деятельностью и совершенствовать меры защиты для минимизации ущерба от потенциальных атак.
Специалисты по кибербезопасности из Центра киберразведки QiAnXin Для просмотра ссылки Войди
Впервые о деятельности группы стало известно в 2021 году, когда эксперты QiAnXin опубликовали соответствующий технический отчёт. Однако корни её атак прослеживаются до 2017 года, когда было выявлено пересечение с действиями другой известной группы Darkhotel.
После 2019 года активность, связанная с группой Darkhotel, начала снижаться, что привело к появлению новых кибершпионских групп, таких как APT-Q-11, APT-Q-12, APT-Q-14 и другие. Эти группы, используя различные тактики и методы, сосредоточились на атаках на правительственные и корпоративные цели, причём, как выяснили специалисты, многие из них являются продолжением или ответвлением деятельности Darkhotel.
Основным методом шпионажа APT-групп, включая APT-Q-12, является использование сложных плагинов, которые позволяют злоумышленникам быстро и эффективно извлекать нужные данные из целевых систем. Например, в одной из операций, получившей название «ShadowTiger», использовались плагины для сканирования файловой структуры и загрузки документов на серверы злоумышленников.
Особое внимание APT-Q-12 уделяет сбору информации о поведении жертв, используя продуманные методы фишинга и внедрение шпионских кодов в популярные почтовые и офисные приложения. Группа разрабатывает и внедряет различные виды вредоносных программ, адаптированных под конкретные платформы, будь то настольные компьютеры, мобильные устройства или корпоративные серверы.
Одним из наиболее значимых открытий со стороны киберпреступников стало обнаружение Zero-day уязвимостей в почтовых клиентах на платформе Windows. Так, APT-Q-12 использует сложные методы атак, которые включают в себя исполнение вредоносного кода через уязвимости в браузерах и почтовых приложениях, что позволяет им проникать в системы и устанавливать контроль.
В ходе анализа было выявлено несколько видов вредоносных программ, среди которых особо выделяется троян, который устанавливается в систему через цепочку действий с использованием скриптов и специальных команд. Этот троян предназначен для захвата и передачи конфиденциальной информации, что делает его мощным инструментом в руках злоумышленников.
APT-Q-12 также использует плагины для захвата ввода с клавиатуры и сбора информации о действиях пользователей, что даёт возможность отслеживать их повседневную активность и выявлять ценные данные, такие как пароли и другие учётные данные. Затем эти данные шифруются и передаются на серверы злоумышленников для дальнейшего анализа и использования.
Для защиты от таких угроз специалисты рекомендуют использовать современные EDR -системы, которые могут эффективно обнаруживать и предотвращать атаки на ранних этапах. Современные ИБ-решения, основанные на данных киберразведки, становятся всё более необходимыми в условиях набирающих обороты угроз в регионе Восточной Азии.
APT-Q-12 продолжает развивать свои методы атак, что представляет серьёзную угрозу для безопасности стран и компаний в этом регионе. Специалисты продолжают следить за их деятельностью и совершенствовать меры защиты для минимизации ущерба от потенциальных атак.
- Источник новости
- www.securitylab.ru
