Группа APT-Q-36, известная под именами Patchwork, Hangover, Dropping Elephant, продолжает развивать свой арсенал вредоносных программ. По данным центра угроз QiAnXin, активность группировки, предположительно связанной с Южной Азией, прослеживается с 2009 года. Ее основными целями традиционно становятся государственные, военные, энергетические, промышленные и научные организации в Азиатском регионе. Недавно исследователи обнаружили новый инструмент этой группы - троян, получивший название StreamSpy. Его ключевой особенностью является использование гибридного протокола связи на основе WebSocket и HTTP для скрытного взаимодействия с серверами управления.
Описание
StreamSpy функционирует по модульному принципу. После запуска троян расшифровывает конфигурацию, хранящуюся в его ресурсах. Эти данные в формате JSON содержат информацию о серверах управления (C2), параметрах идентификации жертвы и механизмах обеспечения устойчивости (persistence). В частности, в конфигурации указан C2-сервер "www.mydropboxbackup[.]com:443" и задаются различные URL-пути для взаимодействия. Если извлечь конфигурацию не удается, троян использует набор значений по умолчанию.
Следующим этапом является сбор информации о системе. StreamSpy собирает имя компьютера, имя пользователя, версию операционной системы, данные об антивирусном ПО, а также с помощью WMI запрашивает UUID, серийный номер материнской платы и идентификатор процессора. На основе этих данных формируется уникальный идентификатор зараженного устройства. Затем троян обеспечивает свое постоянное присутствие в системе. В зависимости от настроек, он может создать задание в Планировщике задач, добавить запись в автозагрузку реестра (RunOnce) или поместить ярлык (LNK) в папку автозагрузки.
Наиболее интересной частью является схема связи с C2. StreamSpy использует комбинацию HTTP и WebSocket, разделяя задачи между протоколами. Инициализация соединения и отправка «сердечных ритмов» (heartbeat) выполняются через HTTP-запросы к конечным точкам "/auth" и "/status". Основной же канал для получения команд и отправки результатов их работы организуется через устойчивое WebSocket-соединение с конечной точкой "/stream". Такое разделение, вероятно, призвано затруднить обнаружение, поскольку основной трафик управления, в отличие от стандартных HTTP-запросов, проходит по постоянному WebSocket-каналу.
Функционал трояна, управляемый через WebSocket, весьма обширен. Он включает выполнение произвольных команд в оболочке (shell), загрузку и запуск файлов, сбор информации о дисках, а также полный набор операций с файловой системой: загрузку (upload), скачивание (download), удаление, переименование и перечисление содержимого каталогов. Для передачи файлов троян снова задействует HTTP-протокол через отдельные интерфейсы, такие как "/sync" и "/fetch".
Аналитики также обнаружили более новую версию трояна - 1.0.0.2. По сравнению с версией 1.0.0.1 изменения минимальны: обновлены C2-серверы (например, "www.virtualworldsapinner[.]com:443"), а также скорректированы некоторые URL-пути для загрузки дополнительных вредоносных модулей (payload). Это указывает на активную стадию разработки и тестирования инструмента.
Проведенное расследование позволило связать StreamSpy с другими известными кампаниями. Во-первых, обнаружена связь через общий домен "firebasescloudemail[.]com" с вариантами загрузчика Spyder, который долгое время ассоциируется с группой APT-Q-36. Эти образцы используют схожие алгоритмы расшифровки конфигурации и частично повторяют функциональность StreamSpy. Во-вторых, цифровая подпись одного из образцов StreamSpy связана с вредоносной программой, относящейся к другой группе - Donot (также известной как «Думной червь»). Это не первый случай совместного использования ресурсов этими двумя группировками, что указывает на возможные связи или общую инфраструктуру.
Появление трояна StreamSpy демонстрирует эволюцию тактик группы APT-Q-36. Внедрение WebSocket для канала управления является шагом к повышению скрытности, позволяя обходить традиционные системы обнаружения, сфокусированные на анализе отдельных HTTP-запросов. Эксперты по безопасности рекомендуют организациям, особенно в регионах интересов группировки, усилить мониторинг сетевого трафика на предмет аномальных WebSocket-соединений, соблюдать принципы минимальных привилегий и регулярно обучать сотрудников правилам кибергигиены для противодействия фишинговым атакам, которые часто являются первоначальным вектором заражения.
Индикаторы компрометации
Domains
- adobefileshare.com
- azureinternalupdates.com
- brityservice.info
- firebasescloudemail.com
- mydropboxbackup.com
- scrollzshare.info
- virtualworldsapinner.com
URLs
- http://adobefileshare.com/download
- http://adobefileshare.com/getData
- http://adobefileshare.com/getfilename
- http://azureinternalupdates.com/download
- http://azureinternalupdates.com/getData
- http://azureinternalupdates.com/getfilename
- https://brityservice.info/ZxStpliGBsfdutMawer/lkhgBrPUyXbgIlErAStyilzsh/N1/SA
- https://brityservice.info/ZxStpliGBsfdutMawer/sIOklbgrTYULKcsdGBZxsfetmw
- https://scrollzshare.info/eeCetyUo8Tr
- https://www.mydropboxbackup.com/analytics/
- https://www.virtualworldsapinner.com/insights/
- https://www.virtualworldsapinner.com/metrics/
WebSockets Secure
- wss://www.mydropboxbackup.com/analytics/stream
- wss://www.virtualworldsapinner.com/insights/stream
- wss://www.virtualworldsapinner.com/metrics/stream
MD5
- 0fe90212062957a529cba3938613c4da
- 1c335be51fc637b50d41533f3bef2251
- 20c9ac59c444625a7ee364b410da8f11
- 838e4d85346001dd04e11359b04c7c24
- c3c277cca23f3753721435da80cad1ea
- df626ce2ad3d3dea415984a9d3839373
- e0ac399cff3069104623cc38395bd946
- e4a7a85feff6364772cf1d12d8153a69
- f78fd7e4d92743ef6026de98291e8dee
