Компания Mandiant Managed Defense недавно выявила активность кибершпионажа, которая в значительной степени использует USB-устройства в качестве начального вектора заражения и сосредоточена на Филиппинах. Mandiant отслеживает эту деятельность как UNC4191 и считает, что она связана с Китаем.
Операции UNC4191 затронули ряд организаций государственного и частного сектора, главным образом в Юго-Восточной Азии, а также в США, Европе и Азиатско-Тихоокеанском регионе; однако, даже когда организации-мишени находились в других местах, конкретные системы, атакованные UNC4191, также были физически расположены на Филиппинах.
После первоначального заражения через USB-устройства, угрожающий субъект использовал подписанные законным образом двоичные файлы для побочной загрузки вредоносного ПО, включая три новых семейства, которые Mandiant называет MISTCLOAK, DARKDEW и BLUEHAZE.
Успешная компрометация приводила к развертыванию переименованного двоичного файла NCAT и выполнению обратного командного интерпретатора на системе жертвы, обеспечивая доступ к черному ходу для угрожающего агента. Вредоносная программа самовоспроизводится путем заражения новых съемных дисков, подключаемых к взломанной системе, что позволяет вредоносной полезной нагрузке распространяться на дополнительные системы и потенциально собирать данные с систем воздушного наблюдения.
Mandiant наблюдала, как UNC4191 развертывал следующие семейства вредоносных программ:
- MISTCLOAK: программа запуска, написанная на C++, которая выполняет зашифрованную исполняемую полезную нагрузку, хранящуюся в файле на диске.
- BLUEHAZE: программа запуска, написанная на C/C++, которая запускает копию NCAT для создания обратной оболочки к жестко закодированной команде управления (C2).
- DARKDEW: дроппер, написанный на C++, способный заражать съемные диски.
- NCAT: сетевая утилита командной строки, которая была написана для проекта Nmap для выполнения широкого спектра задач по обеспечению безопасности и администрированию.
Хотя NCAT может использоваться в законных целях, субъекты угроз также могут использовать ее для загрузки или скачивания файлов, создания бэкдоров или обратных оболочек, а также туннелирования трафика для обхода сетевого контроля.
Indicators of Compromise
Domains
- closed.theworkpc.com
MD5
- 6900cf5937287a7ae87d90a4b4b4dec5
- 707de51327f6cae5679dee8e4e2202ba
- 7753da1d7466f251b60673841a97ac5a
- 8ec339a89ec786b2aea556bedee679c7
- c10abb9f88f485d38e25bc5a0e757d1e
- ea7f5b7fdb1e637e4e73f6bf43dcf090
- f45726a9508376fdd335004fca65392a
- f632e4b9d663d69edaa8224a43b59033