Прогосударственная хакерская группа APT41 (ARIUM, Winnti, LEAD, WICKED SPIDER, WICKED PANDA, Blackfly, Suckfly, Winnti Umbrella, Double Dragon), целями атак которой являются одновременно кибершпионаж и финансовая выгода, активна по меньшей мере с 2007 года. Аналитики Group-IB Threat Intelligence выделили 4 вредоносных кампании APT41, проведенных в 2021 году, и географически охвативших США, Тайвань, Индию, Вьетнам и Китай. Целевыми индустриями стали государственный сектор, производственные, здравоохранительные, логистические, гостиничные, образовательные организации, а также медиа и авиакомпания. Согласно данным Group-IB, подтвержденных жертв APT41 за 2021 было 13, однако реальное их число может быть значительно большим.
“Согласно проведенному исследованию, 2021 год был достаточно интенсивным для атакующих из APT41, — отмечает аналитик Threat Intelligence компании Group-IB. — В результате анализа обнаруженных нами инструментов и индикаторов компрометации, мы смогли выявить вредоносную активность и предупредить коммерческие и государственные организации о готовящихся или уже совершенных атаках APT41 для того, чтобы они могли предпринять необходимые шаги по защите или поиску следов компрометации своих сетей. Суммарно за 2021 год мы проактивно отправили более 80 таких уведомлений, связанных с APT41”.
Из инструментов разведки в исследованных кампаниях группа применяла утилиты Acunetix, Nmap, SQLmap, OneForAll, subdomain3, subDomainsBrute, Sublist3r. Традиционно в качестве начального вектора проникновения атакующим из APT41 приписывают фишинг, эксплуатацию различных уязвимостей, в том числе, и Proxylogon, watering hole или атаки на цепочки поставок. Однако в наблюдаемых Group-IB кампаниях злоумышленники проникали в целевые системы используя SQL-инъекции для веб-сайтов с помощью общедоступного инструмента SQLmap. В одних организациях группа получала доступ к командной оболочке целевого сервера, в других — доступ к базам данных с информацией об учетных записях, спискам сотрудников, а также с паролями в чистом и хэшированном виде. В результате таких SQL-инъекций атакующим удалось проникнуть в сети жертв в половине случаев — 43 из 86 веб-сайтов оказались уязвимы.
Cobalt Strike: old but gold
Как удалось выяснить Group-IB, для загрузки и выполнения вредоносного кода на зараженных устройствах, злоумышленники использовали не встречавшийся исследователями ранее уникальный способ деления полезной нагрузки, в качестве которой применялся кастомизированный инструмент
Источник: SecurityLab