Billbug: Кампания вторжения в Юго-Восточную Азию продолжается

Группа также осуществила вторжения в новостное агентство и компанию по авиаперевозкам в других странах Юго-Восточной Азии. Для совершения атак использовались различные новые пользовательские инструменты, включая загрузчики, похитители учетных данных и инструменты обратного SSH.

Аналитики выяснили, что эта кампания была продолжением предыдущей кампании, задокументированной Symantec в декабре 2024 года. Хотя было известно, что атаки связаны с китайскими агентами, не удалось однозначно определить атрибуцию конкретного агента. Однако последний анализ показал, что индикаторы компрометации, использованные в активности Billbug, связаны с этой группой.

Злоумышленники использовали легитимные исполняемые файлы Trend Micro и Bitdefender для загрузки вредоносных загрузчиков. Они также использовали новый вариант бэкдора Sagerunex, примечательный для группы Billbug. Кроме того, были развернуты инструменты для кражи учетных данных из веб-браузера Chrome и другие инструменты, такие как бэкдор Zrok и datechanger.exe для замены временных меток файлов.

Группа Billbug активна с 2009 года и часто нацеливается на юго-восточно-азиатские правительства и военные организации. Их деятельность была задокументирована компаниями Palo Alto и Symantec .

SHA256

• 29d31cfc4746493730cda891cf88c84f4d2e5c630f61b861acc31f4904c5b16d
• 2e1c25bf7e2ce2d554fca51291eaeb90c1b7c374410e7656a48af1c0afa34db4
• 461f0803b67799da8548ebfd979053fb99cf110f40ac3fc073c3183e2f6e9ced
• 4b430e9e43611aa67263f03fd42207c8ad06267d9b971db876b6e62c19a0805e
• 54f0eaf2c0a3f79c5f95ef5d0c4c9ff30a727ccd08575e97cce278577d106f6b
• 6efb16aa4fd785f80914e110a4e78d3d430b18cbdd6ebd5e81f904dd58baae61
• b337a3b55e9f6d72e22fe55aba4105805bb0cf121087a3f6c79850705593d904
• b75a161caab0a90ef5ce57b889534b5809af3ce2f566af79da9184eaa41135bd
• becbfc26aef38e669907a5e454655dc9699085ca9a4e5f6ccd3fe12cde5e0594
• e3869a6b82e4cf54cc25c46f2324c4bd2411222fd19054d114e7ebd32ca32cd1
• ea87d504aff24f7daf026008fa1043cb38077eccec9c15bbe24919fc413ec7c7