APT-группа Swan Vector: атаки на Тайвань и Японию с использованием многоступенчатых DLL-имплантов

Кампания состоит из четырех этапов. Первый этап - вредоносный LNK-файл, который запускает DLL-имплант Pterois через утилиту rundll32.exe. Этот имплант использует API-хеширование для сокрытия своих действий и загружает следующие этапы атаки, включая легитимный исполняемый файл Windows, который затем выполняет второй имплант Isurus через технику DLL-Sideloading. Финальный этап - загрузка и выполнение шеллкода Cobalt Strike, обеспечивающего злоумышленникам удаленный доступ к системе.

Одним из ключевых элементов атаки является использование Google Drive в качестве командного сервера. Имплант Pterois получает OAuth-токен для авторизации в Google Drive, после чего загружает дополнительные вредоносные файлы, включая фишинговый документ-приманку в формате PDF. Этот документ содержит шаблон резюме на японском языке, что указывает на ориентацию атаки на японские организации.

После выполнения своих задач имплант Pterois самоуничтожается, удаляя следы своего присутствия в системе. Второй имплант, Isurus, использует технику загрузки шеллкода в память с последующим его выполнением через системные вызовы, минуя стандартные API Windows.

Финальный этап атаки - развертывание бекдора Cobalt Strike, который обеспечивает злоумышленникам полный контроль над зараженной системой. Инфраструктура командного сервера включает IP-адреса и домены, замаскированные под легитимные библиотеки JavaScript.

Анализ указывает на высокий уровень профессионализма атакующих, использующих сложные методы обфускации и антианализа. Seqrite Labs рекомендует организациям в Японии и Тайване усилить мониторинг подозрительной активности, особенно связанной с Google Drive и нестандартными методами выполнения кода.

IPv4 Port Combinations

• 52.199.49.4:7284

SHA256

• 040d121a3179f49cd3f33f4bc998bc8f78b7f560bfd93f279224d69e76a06e92
• 0f303988e5905dffc3202ad371c3d1a49bd3ea5e22da697031751a80e21a13a7
• 777961d51eb92466ca4243fa32143520d49077a3f7c77a2fcbec183ebf975182
• 7a942f65e8876aeec0a1372fcd4d53aa1f84d2279904b2b86c49d765e5a29d6f
• 7bf5e1f3e29beccca7f25d7660545161598befff88506d6e3648b7b438181a75
• 8710683d2ec2d04449b821a85b6ccd6b5cb874414fd4684702f88972a9d4cfdd
• 9c83faae850406df7dc991f335c049b0b6a64e12af4bf61d5fb7281ba889ca82
• 9df9bb3c13e4d20a83b0ac453e6a2908b77fc2bf841761b798b903efb2d0f4f7
• 9fb57a4c6576a98003de6bf441e4306f72c83f783630286758f5b468abaa105d
• a9b33572237b100edf1d4c7b0a2071d68406e5931ab3957a962fcce4bfc2cc49
• c7b9ae61046eed01651a72afe7a31de088056f1c1430b368b1acda0b58299e28
• c8ed52278ec00a6fbc9697661db5ffbcbe19c5ab331b182f7fd0f9f7249b5896
• de839d6c361c7527eeaa4979b301ac408352b5b7edeb354536bd50225f19cfa5
• e0c6f9abfc11911747a7533f3282e7ff0c10fc397129228621bcb3a51f5be980
• e1b2d0396914f84d27ef780dd6fdd8bae653d721eea523f0ade8f45ac9a10faf
• e86feaa258df14e3023c7a74b7733f0b568cc75092248bec77de723dba52dd12

Emails

• [email protected]