Невидимая угроза годами скрывалась в памяти телеком-сетей Южной Азии.
В 2021 году специалисты Лаборатории Касперского Для просмотра ссылки Войдиили Зарегистрируйся исследование масштабной атаки на телекоммуникационную отрасль в Южной Азии, что привело к обнаружению вредоносного фреймворка QSC. Этот фреймворк представляет собой многофункциональную модульную платформу, каждый компонент которой выполняет отдельные задачи и сохраняется исключительно в оперативной памяти, что затрудняет его обнаружение.
<h3>Структура фреймворка QSC и его модули</h3> Основой QSC является модуль-загрузчик, который запускается в виде DLL-сервиса и содержит ссылки на внутренние каталоги разработки, указывающие на связь с кибергруппировкой CloudComputating. Этот загрузчик загружает и распаковывает код, который затем инжектируется в память и активирует центральный модуль (ядро) Core, управляющий фреймворком.
Модули Core и Network обеспечивают взаимодействие с командными серверами (C2-серверами). Ядро передает сетевому модулю сжатый код и параметры конфигурации, позволяя ему устанавливать зашифрованное TLS-соединение с серверами управления. Конфигурация может включать такие данные, как параметры прокси-сервера, учетные данные и расписание связи, что позволяет атакующим учитывать архитектуру сети цели.
Командная оболочка и файловый менеджер фреймворка обеспечивают доступ к файловой системе и позволяют выполнять команды в системе жертвы. Файловый менеджер поддерживает команды, с помощью которых злоумышленники могут просматривать содержимое каталогов, передавать файлы, изменять их атрибуты и управлять временными метками. Командная оболочка обеспечивает запуск команд через процессы, такие как <code>cmd.exe</code>, и позволяет удаленно управлять целевой системой.
<h3>Связь с группой CloudComputating</h3> Эксперты Лаборатории Касперского установили, что обнаруженный вредоносный фреймворк QSC может быть связан с деятельностью хакерской группы CloudComputating, известной также под псевдонимами BackdoorDiplomacy и Faking Dragon. Данная группировка уже проводила атаки на стратегически важные отрасли в разных странах, а последние обнаруженные активности указывают на их интерес к телекоммуникационному сектору.
Специалисты обратили внимание на уникальные IP-адреса и внутренние прокси-серверы, используемые злоумышленниками для управления зараженными системами, что свидетельствует о глубоком понимании сети атакуемой организации. Прокси-сервера позволяют скрывать командные сервера и затрудняют выявление источника атак.
<h3>Дополнительные бэкдоры и расширенные возможности QSC</h3> В октябре 2023 года Лаборатория Касперского зафиксировала внедрение нового бэкдора GoClient, разработанного на языке Go и использующего шифрование RC4 для маскировки данных. В отличие от QSC, GoClient предназначен для сбора системных данных, таких как IP-адреса, имена хостов и информация об оборудовании. Эти данные собираются в формате JSON, шифруются и передаются на сервер управления, что позволяет злоумышленникам поддерживать скрытное присутствие в сети.
Исследование показало, что GoClient, как и ранее обнаруженный бэкдор Quarian (Turian), применяется для долговременного контроля над сетями жертвы. Этот бэкдор был загружен через QSC и помогал злоумышленникам выполнять команды на зараженных устройствах, такие как передача файлов, создание скриншотов и изменение файловой структуры. Вероятно, CloudComputating стремится обеспечить длительное присутствие в сетях жертв, используя QSC как основной инструмент управления и GoClient для вспомогательных задач.
<h3>Функции QSC и методы эксплуатации уязвимостей</h3> QSC демонстрирует высокий уровень технологической компетенции создателей, позволяя гибко управлять атаками через централизованные C2-сервера и адаптировать командные параметры в зависимости от структуры сети жертвы. По данным лаборатории Касперского, QSC поддерживает выполнение следующих команд:
<h3>Значение угрозы и перспективы развития атак</h3> Фреймворк QSC, являясь адаптивной угрозой, подчеркивает растущую сложность кибератак, особенно на телекоммуникационные компании, которые становятся все более уязвимыми перед лицом таких сложных атак. Модульная архитектура QSC и скрытая работа в памяти системы позволяют злоумышленникам оставаться незамеченными в течение длительного времени, что особенно опасно в случае телекоммуникационных компаний, где атакующие могут получить доступ к значительному объему данных и управлять системами.
Эксперты считают, что распространение фреймворка QSC и активное использование таких бэкдоров, как Quarian и GoClient, указывает на новую стратегию группы CloudComputating, которая ориентирована на долговременное и скрытное присутствие в сетях жертв. Использование прокси-серверов и защищенных каналов затрудняет обнаружение атак, а применяемые тактики свидетельствуют о высокой квалификации злоумышленников и их стратегическом подходе.
<h3>Выводы и рекомендации</h3> Лаборатория Касперского рекомендует телекоммуникационным компаниям усилить защиту сети, учитывая особенности фреймворка QSC. Важными мерами являются мониторинг активности, анализ сетевого трафика и регулярное обновление защитного ПО, а также проведение обучения сотрудников основам кибербезопасности.
Использование продвинутых фреймворков, таких как QSC, требует от организаций готовности к реагированию на инциденты и создания комплексной стратегии кибербезопасности, направленной на минимизацию рисков и предотвращение утечек данных.
В 2021 году специалисты Лаборатории Касперского Для просмотра ссылки Войди
<h3>Структура фреймворка QSC и его модули</h3> Основой QSC является модуль-загрузчик, который запускается в виде DLL-сервиса и содержит ссылки на внутренние каталоги разработки, указывающие на связь с кибергруппировкой CloudComputating. Этот загрузчик загружает и распаковывает код, который затем инжектируется в память и активирует центральный модуль (ядро) Core, управляющий фреймворком.
Модули Core и Network обеспечивают взаимодействие с командными серверами (C2-серверами). Ядро передает сетевому модулю сжатый код и параметры конфигурации, позволяя ему устанавливать зашифрованное TLS-соединение с серверами управления. Конфигурация может включать такие данные, как параметры прокси-сервера, учетные данные и расписание связи, что позволяет атакующим учитывать архитектуру сети цели.
Командная оболочка и файловый менеджер фреймворка обеспечивают доступ к файловой системе и позволяют выполнять команды в системе жертвы. Файловый менеджер поддерживает команды, с помощью которых злоумышленники могут просматривать содержимое каталогов, передавать файлы, изменять их атрибуты и управлять временными метками. Командная оболочка обеспечивает запуск команд через процессы, такие как <code>cmd.exe</code>, и позволяет удаленно управлять целевой системой.
<h3>Связь с группой CloudComputating</h3> Эксперты Лаборатории Касперского установили, что обнаруженный вредоносный фреймворк QSC может быть связан с деятельностью хакерской группы CloudComputating, известной также под псевдонимами BackdoorDiplomacy и Faking Dragon. Данная группировка уже проводила атаки на стратегически важные отрасли в разных странах, а последние обнаруженные активности указывают на их интерес к телекоммуникационному сектору.
Специалисты обратили внимание на уникальные IP-адреса и внутренние прокси-серверы, используемые злоумышленниками для управления зараженными системами, что свидетельствует о глубоком понимании сети атакуемой организации. Прокси-сервера позволяют скрывать командные сервера и затрудняют выявление источника атак.
<h3>Дополнительные бэкдоры и расширенные возможности QSC</h3> В октябре 2023 года Лаборатория Касперского зафиксировала внедрение нового бэкдора GoClient, разработанного на языке Go и использующего шифрование RC4 для маскировки данных. В отличие от QSC, GoClient предназначен для сбора системных данных, таких как IP-адреса, имена хостов и информация об оборудовании. Эти данные собираются в формате JSON, шифруются и передаются на сервер управления, что позволяет злоумышленникам поддерживать скрытное присутствие в сети.
Исследование показало, что GoClient, как и ранее обнаруженный бэкдор Quarian (Turian), применяется для долговременного контроля над сетями жертвы. Этот бэкдор был загружен через QSC и помогал злоумышленникам выполнять команды на зараженных устройствах, такие как передача файлов, создание скриншотов и изменение файловой структуры. Вероятно, CloudComputating стремится обеспечить длительное присутствие в сетях жертв, используя QSC как основной инструмент управления и GoClient для вспомогательных задач.
<h3>Функции QSC и методы эксплуатации уязвимостей</h3> QSC демонстрирует высокий уровень технологической компетенции создателей, позволяя гибко управлять атаками через централизованные C2-сервера и адаптировать командные параметры в зависимости от структуры сети жертвы. По данным лаборатории Касперского, QSC поддерживает выполнение следующих команд:
- передача информации о системе, такой как имя компьютера, версия ОС;
- выполнение команд через удалённую оболочку;
- отправка сигналов активности для поддержания связи с сервером;
- управление файлами на устройстве жертвы, включая их удаление, перемещение и изменение атрибутов.
<h3>Значение угрозы и перспективы развития атак</h3> Фреймворк QSC, являясь адаптивной угрозой, подчеркивает растущую сложность кибератак, особенно на телекоммуникационные компании, которые становятся все более уязвимыми перед лицом таких сложных атак. Модульная архитектура QSC и скрытая работа в памяти системы позволяют злоумышленникам оставаться незамеченными в течение длительного времени, что особенно опасно в случае телекоммуникационных компаний, где атакующие могут получить доступ к значительному объему данных и управлять системами.
Эксперты считают, что распространение фреймворка QSC и активное использование таких бэкдоров, как Quarian и GoClient, указывает на новую стратегию группы CloudComputating, которая ориентирована на долговременное и скрытное присутствие в сетях жертв. Использование прокси-серверов и защищенных каналов затрудняет обнаружение атак, а применяемые тактики свидетельствуют о высокой квалификации злоумышленников и их стратегическом подходе.
<h3>Выводы и рекомендации</h3> Лаборатория Касперского рекомендует телекоммуникационным компаниям усилить защиту сети, учитывая особенности фреймворка QSC. Важными мерами являются мониторинг активности, анализ сетевого трафика и регулярное обновление защитного ПО, а также проведение обучения сотрудников основам кибербезопасности.
Использование продвинутых фреймворков, таких как QSC, требует от организаций готовности к реагированию на инциденты и создания комплексной стратегии кибербезопасности, направленной на минимизацию рисков и предотвращение утечек данных.
- Источник новости
- www.securitylab.ru