APT-Q-12, также известная как Pseudo hunter, имеет происхождение из Северо-Восточной Азии. В 2021 году центр Threat Intelligence QiAnXin опубликовал технический отчет, в котором упоминается эта группа. Основной целью APT-Q-12 являются Китай, Северная Корея, Япония и Южная Корея, а также другие страны и организации Восточной Азии. Эти атаки были впервые обнародованы в 2017 году с помощью действий под названием "baijiu". В отчете также отмечается, что действия "baijiu" и организация Darkhotel, ранее описанная Kaspersky, имеют общие черты.
Pseudo hunter (APT-Q-12) APT
После 2019 года процент операций, связанных с группой Darkhotel, снижался год за годом в открытых источниках информации. В то же время появились новые наборы атак с фоном, связанным с Корейским полуостровом, и с использованием различных методов и тактик на государственных и предприятий терминалах. Эти атаки были классифицированы на основе TEMA и отрасли, и включают такие группы, как APT-Q-11 (ShadowTiger), APT-Q-12 (Pseudo hunter), APT-Q-14 (ClickOnce), APT-Q-15, UTG-Q-005 и другие. После пятилетнего непрерывного отслеживания обнаружено, что все эти группы перекрываются друг с другом, и QiAnXin считают, что эти атаки являются частями группы Darkhotel.
Глубина исследования групп АPT зависит от владения ими различными типами плагинов и расширений. Большинство групп используют трояны в качестве загрузчиков или загрузчиков данных, а шпионаж осуществляется с помощью последующих плагинов. Из-за различных потребностей различных групп в целевых данных, имеется огромное разнообразие плагинов APT-групп в разных направлениях. Например, в операции ShadowTiger был использован плагин Durain только для получения структуры определенного каталога и перемещения документов в нем, а загрузка данных на сервер C2 осуществлялась с помощью плагина peach с использованием конвейера. Группы APT37 и New OceanLotus загружают только путь к файлу и структуру директории, а злоумышленники из группы CNC, ориентированной на Южную Азию, сначала выбирают интересующие каталоги файлов с помощью небольшого трояна, а затем загружают все документы рекурсивно, закодировав структуру каталогов в плагине стеганографии.
APT-Q-12 разработала несколько сложных почтовых зондов для периодической доставки целевых писем-зондов, чтобы собрать привычки и логику поведения жертв. Вредоносные письма-зонды очень сложно идентифицировать, они имитируют различные виды рекламы и подписок. APT-Q-12 также использует дифференцированные методы обнаружения офисных продуктов, таких как WPS и Microsoft Word, для определения, какой софт входит в использование у целей.
Indicators of Compromise
IPv4 Port Combinations
- 82.118.27.129:80
Domains
- web-oauth.com
URLs
- https://bitbucket.org/noelvisor/burdennetted/downloads/
- https://bitbucket.org/noelvisor/burdennetted/downloads/OAQDDI32.bmp
- https://bitbucket.org/poppedboy/bovrilchant/downloads/32.bmp
- https://c.statcounter.com/12830663/0/0ee00a3c/1/
MD5
- 59cd91c8ee6b9519c0da27d37a8a1b31
- 71094ef9f2cf685e6c7d11fe310e5efb
- 764c7b0cdc8a844dc58644a32773990e
- fa17ed2eabff8ac5fbbbc87f5446b9ca