Начиная с 2022 года, Google Threat Intelligence Group (GTIG) обнаружила операции по кибершпионажу, проводимые китайскими злоумышленниками при помощи обфусцирующего компилятора ScatterBrain и кибероружия POISONPLUG.SHADOW. ScatterBrain является развитием более раннего обфусцирующего компилятора ScatterBee, обнаруженного PWC. GTIG оценивает POISONPLUG.SHADOW как продвинутый модульный бэкдор, используемый кластерами, связанными с группой угроз APT41.
Описание
В настоящее время GTIG отслеживает три варианта POISONPLUG - POISONPLUG, POISONPLUG.DEED и POISONPLUG.SHADOW.
POISONPLUG.SHADOW, также известный как "Shadowpad", использует собственный обфусцирующий компилятор, специально разработанный для уклонения от обнаружения и анализа. Это усложняет процесс анализа и ersault кода. GTIG сотрудничает с командой FLARE для разработки методов реверс-инжиниринга и разведки угроз, необходимых для смягчения угроз, связанных с POISONPLUG.SHADOW. Они разработали полную автономную библиотеку статического деобфускатора для эффективной борьбы с этими угрозами. В развертывание методики и инновации Google вложено много усилий, чтобы противостоять постоянно меняющимся тактикам киберпреступников.
Анализ ScatterBrain позволяет понять его механизмы обфускации и требования для его деобфускации. Библиотека деобфускатора принимает обфусцированные двоичные файлы, сгенерированные ScatterBrain, и расшифровывает их. В статье также представлены различные компоненты ScatterBrain и их взаимосвязь. ScatterBrain использует режимы защиты, которые определяют структуру и интенсивность применяемых механизмов обфускации. Он также использует мутацию инструкций и обфускацию Control Flow Graph (CFG), чтобы затруднить анализ кода.
Аналитики исследования также отмечают, что понимание современных методов обфускации часто затруднено из-за отсутствия ясности в стандартных средствах двоичного анализа. Работа Google по развитию эффективных методов защиты и раскрытию механизмов ScatterBrain призвана помочь улучшить общее представление об обфускации и помочь в разработке эффективных мер противодействия киберугрозам.
Таким образом, Google Threat Intelligence Group продолжает активное наблюдение и сотрудничество с целью выявления и смягчения угроз, связанных с кибершпионажем и использованием обфусцирующего компилятора ScatterBrain и бэкдора POISONPLUG.SHADOW. Они продолжают развитие и совершенствование методов анализа и защиты для противодействия угрозам и обеспечения безопасности Google и их клиентов.
Indicators of Compromise
MD5
- 0009f4b9972660eeb23ff3a9dccd8d86
- 1f1361a67ce4396c3b9dbc198207ef52
- 4bf608e852cb279e61136a895a6912a9
- 5c62cdf97b2caa60448619e36a5eb0b6
- 704fb67dffe4d1dce8f22e56096893be
- 79313be39679f84f4fcb151a3394b8b3
- eb42ef53761b118efbc75c4d70906fe4
