Координационный центр JPCERT (JPCERT/CC) опубликовал отчет, в котором подробно описывается атака APT-C-60 на организацию в Японии в августе 2024 года.
APT-C-60 APT
Злоумышленник использовал фишинговое письмо, замаскированное под заявление о приеме на работу, чтобы заставить жертву загрузить вредоносное ПО по ссылке на Google Drive. Вредоносный файл, образ виртуального диска VHDX, содержал LNK-файлы и документы-обманки. После выполнения LNK-файл запускал ряд действий, в том числе создание загрузчика SecureBootUEFI.dat, который становился постоянным благодаря перехвату COM.
SecureBootUEFI.dat связывался с легитимными сервисами Bitbucket и StatCounter, используя последний для идентификации зараженных устройств путем кодирования уникальной информации об устройстве в данных реферера StatCounter. Впоследствии загрузчик получал дополнительную полезную нагрузку, Service.dat, которая, в свою очередь, извлекала и декодировала дальнейшие компоненты вредоносного ПО, cn.dat и sp.dat, сохраняя их в системе.
Использованный в атаке бэкдор, получивший в ESET название SpyGlace, представляет собой хорошо документированный инструмент с расширенной функциональностью, включая шифрованные коммуникации и модульное исполнение. Этот бэкдор был замечен в атаках, приписываемых APT-C-60, в частности, в аналогичных кампаниях, о которых сообщалось в период с августа по сентябрь 2024 года, направленных на страны Восточной Азии.
Indicators of Compromise
IPv4
- 103.187.26.176
- 103.6.244.46
URLs
- https://bitbucket.org/ffg84883/3r23ruytgfdxz/raw/8ebddd79bb7ef1b9fcbc1651193b002bfef598fd/cbmp.txt
- https://bitbucket.org/ffg84883/3r23ruytgfdxz/raw/8ebddd79bb7ef1b9fcbc1651193b002bfef598fd/icon.txt
- https://bitbucket.org/ffg84883/3r23ruytgfdxz/raw/8ebddd79bb7ef1b9fcbc1651193b002bfef598fd/rapd.txt
- https://bitbucket.org/hawnbzsd/hawnbzsd/downloads
- https://bitbucket.org/hawnbzsd/hawnbzsd31/downloads
- https://c.statcounter.com/12959680/0/f1596509/1/
- https://c.statcounter.com/13025547/0/0a557459/1/
SHA1
- 0830ef2fe7813ccf6821cad71a22e4384b4d02b4
- 1e5920a6b79a93b1fa8daca32e13d1872da208ee
- 33dba9c156f6ceda40aefa059dea6ef19a767ab2
- 3affa67bc7789fd349f8a6c9e28fa1f0c453651f
- 4508d0254431df5a59692d7427537df8a424dbba
- 4589b97225ba3e4a4f382540318fa8ce724132d5
- 5d3160f01920a6b11e3a23baec1ed9c6d8d37a68
- 5ed4d42d0dcc929b7f1d29484b713b3b2dee88e3
- 65300576ba66f199fca182c7002cb6701106f91c
- 6cf281fc9795d5e94054cfe222994209779d0ba6
- 783cd767b496577038edbe926d008166ebe1ba8c
- 79e41b93b540f6747d0d2c3a22fd45ab0eac09ab
- 7e8aeba19d804b8f2e7bffa7c6e4916cf3dbee62
- 8abd64e0c4515d27fae4de74841e66cfc4371575
- b1e0abfdaa655cf29b44d5848fab253c43d5350a
- c198971f84a74e972142c6203761b81f8f854d2c
- cc9cd337b28752b8ba1f41f773a3eac1876d8233
- d94448afd4841981b1b49ecf63db3b63cb208853
- fadd8a6c816bebe3924e0b4542549f55c5283db8
- fd6c16a31f96e0fd65db5360a8b5c179a32e3b8e