Государственные хакеры Billbug атаковали центр цифровых сертификатов в Азии: угроза безопасности и шпионажа

Billbug использует сложные инструменты, включая бэкдоры Hannotog и Sagerunex, которые уже фигурировали в предыдущих атаках группы. В ходе текущей кампании злоумышленники скомпрометировали значительное количество машин в сетях жертв, включая правительственные структуры. Особую тревогу вызывает атака на центр сертификации, поскольку компрометация цифровых сертификатов могла бы позволить хакерам подписывать вредоносное ПО легитимными сертификатами, обходя защитные механизмы, или перехватывать HTTPS-трафик. Однако пока нет доказательств, что злоумышленникам удалось получить доступ к сертификатам.

Атака началась как минимум в марте 2022 года и продолжается по сей день. Злоумышленники используют комбинацию общедоступных утилит и собственных вредоносных программ. Среди инструментов двойного назначения, задействованных в атаке, - AdFind (для сканирования Active Directory), WinRAR (для архивирования данных перед эксфильтрацией), Ping и Tracert (для анализа сети), а также Certutil (для декодирования данных и управления сертификатами). Эти инструменты позволяют хакерам оставаться незамеченными, так как их использование не всегда вызывает подозрения у систем защиты.

После первоначального проникновения Billbug развертывает бэкдор Hannotog, который обладает широким функционалом: изменяет настройки брандмауэра, создает службы для обеспечения устойчивости в системе, останавливает другие сервисы, собирает данные о системе и загружает дополнительные вредоносные модули. Кроме того, в атаке был задействован инструмент Stowaway Proxy, который позволяет хакерам создавать сложные цепочки прокси-серверов для обхода защиты и скрытого управления скомпрометированными сетями.

Мотивация Billbug остается очевидной - шпионаж и кража данных. Несмотря на отсутствие явных признаков утечки информации в текущей кампании, выбор целей (правительственные учреждения и центр сертификации) указывает на стратегический интерес злоумышленников. В случае успешной компрометации сертификатов последствия могли бы быть катастрофическими: подписанное вредоносное ПО могло бы беспрепятственно распространяться, а перехваченный трафик - раскрывать конфиденциальную информацию.

Эксперты Symantec подчеркивают, что Billbug остается одной из самых опасных APT-групп, способной проводить сложные и долгосрочные операции. Использование уже известных инструментов, несмотря на риск раскрытия, говорит о высокой уверенности группы в своих методах. Организациям, особенно в Азии, рекомендуется усилить мониторинг сетевой активности, обновить системы защиты и провести аудит использования служебных утилит, которые могут быть использованы злоумышленниками.

Эта атака в очередной раз демонстрирует, что цифровая инфраструктура, включая центры сертификации, остается ключевой мишенью для государственных хакеров. Безопасность таких объектов критически важна для защиты не только корпоративных, но и национальных интересов.

SHA256

• 072022b54085690001ff9ec546051b2f60564ffbf5b917ac1f5a0e3abe7254a5
• 0cc6285d4bfcb5de4ebe58a7eab9b8d25dfcfeb12676b0c084e8705e69f6f281
• 148145b9a2e3f3abdc6c2d3de340eabc82457be67fb44cfa400a5e7bd2f88760
• 2a4302e61015fdf5f65fbd456249bafe96455cd5cc8aefe075782365b9ae3076
• 3585a5cbbf1b8b3206d7280355194d5442ed997f61e061fd6938a93163c79507
• 37fe8efe828893042e4f1db7386d20fec55518a3587643f54d4c3ec82c35df6d
• 3c35514b27c57a46a5593dbbbfceddbc49979b20fddc14b68bf4f0ee965a7c59
• 3dd7b684024941d5ab26df6730d23087037535783e342ee98a3934cccddb8c3e
• 64c546439b6b2d930f5aced409844535cf13f5c6d24e0870ba9bc0cf354d8c11
• 79f9f25b15e88c47ce035f15dd88f18ecc11e1319ff6f88568fdd0d327ad7cc1
• 7fe67567a5de33166168357d663b85bd452d64a4340bdad29fe71588ad95bf6f
• 80a8a9a2e91ead0ae5884e823dca73ef9fce59ff96111c632902d6c04401a4fe
• 861d1307913d1c2dbf9c6db246f896c0238837c47e1e1132a44ece5498206ec2
• 8f7c74a9e1d04ff116e785f3234f80119d68ae0334fb6a5498f6d40eee189cf7
• a462085549f9a1fdeff81ea8190a1f89351a83cf8f6d01ecb5f238541785d4b3
• adb61560363fcda109ea077a6aaf66da530fcbbb5dbde9c5923a59385021a498
• b631abbfbbc38dac7c59f2b0dd55623b5caa1eaead2fa62dc7e4f01b30184308
• bcc99bc9c02e1e2068188e63bc1d7ebe308d0d12ce53632baa31ce992f06c34a
• c4a7a9ff4380f6b4730e3126fdaf450c624c0b7f5e9158063a92529fa133eaf2
• e4a460db653c8df4223ec466a0237943be5de0da92b04a3bf76053fa1401b19e
• f7ea532becda13a1dcef37b4a7ca140c56796d1868867e82500e672a68d029e4
• f969578a0e7fe90041d2275d59532f46dee63c6c193f723a13f4ded9d1525c6b
• fea2f48f4471af9014f92026f3c1b203825bb95590e2a0985a3b57d6b598c3ff