Исследователи из Cybereason обнаружили кампанию угроз государственного уровня под названием «CUCKOO SPEAR», которая в течение нескольких лет сохранялась в сетях жертв, используя сложные методы.
Cuckoo Spear Campaign
Кампания имеет связи с известной группой APT10, демонстрируя четкую связь между несколькими инцидентами и раскрывая новые инструменты и стратегии, используемые злоумышленниками. Основной целью Cuckoo Spear был кибершпионаж, направленный на японские компании в производственном, политическом и промышленном секторах.
Злоумышленники использовали скрытное вредоносное ПО, в том числе обновленную версию LODEINFO, инструмента, ранее ассоциировавшегося с APT10. Исследователи также обнаружили два новых компонента вредоносного ПО: NOOPLDR - бэкдор, обеспечивающий постоянство, и NOOPDOOR, который использовал алгоритм генерации доменов (DGA) для внутренних сетевых коммуникаций и ретрансляции. Некоторые жертвы неосознанно размещали этих агентов в своих системах в течение двух-трех лет.
Первоначальный доступ к целевым сетям достигался в основном с помощью фишинговых атак, хотя, по наблюдениям Cybereason, также наблюдалась эксплуатация публичных приложений. Для сохранения устойчивости злоумышленники использовали такие продвинутые техники, как побочная загрузка DLL и эксплуатация MSBuild.
Инфраструктура, стоящая за Cuckoo Spear, использовала динамические DNS-сервисы и зарегистрированные домены для управления своей кампанией. Cobalt Strike, LODEINFO, NOOPLDR и NOOPDOOR играли роль в поддержании стойкости и обеспечении бокового перемещения по взломанным средам, позволяя злоумышленникам оставаться незамеченными при осуществлении долгосрочного шпионажа.
Indicators of Compromise
Domains
- onthewifi.com
- serveblog.net
