Исследователи SecureList by Kaspersky опубликовали отчет о недавней активности Tropic Trooper.
Tropic Trooper
Tropic Trooper, также известная как KeyBoy и Pirate Panda, - это группа постоянных угроз (advanced persistent threat, APT), действующая с 2011 года. Исторически ее целью были такие отрасли, как правительство, здравоохранение, транспорт и высокотехнологичные отрасли на Тайване, Филиппинах и в Гонконге. Недавно, в 2024 году, группа сместила фокус на правительственные организации на Ближнем Востоке, в частности на те, которые занимаются изучением прав человека, что говорит о новом стратегическом направлении.
Впервые вторжение было замечено в июне 2024 года, когда модифицированный вариант веб-оболочки China Chopper был обнаружен на публичном сервере, работающем под управлением Umbraco CMS. Эта веб-оболочка была развернута как модуль .NET в CMS, что позволило группе выполнять команды и поддерживать постоянство. SecureList обнаружила попытки эксплуатации нескольких старых CVE в Microsoft Exchange (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207) и одного в Adobe ColdFusion (CVE-2023-26360), что дает компании умеренную уверенность в том, что эти веб-оболочки были получены путем эксплуатации непропатченных уязвимостей.
Дальнейшее расследование выявило на взломанном сервере множество наборов вредоносных программ, включая инструменты для пост-эксплойта, такие как Fscan, Swor и Neo-reGeorg, которые, вероятно, использовались для сканирования сети, латерального перемещения и обхода средств контроля безопасности. Кроме того, были обнаружены новые техники перехвата порядка поиска DLL, включающие вредоносные DLL, такие как загрузчик Crowdoor. Этот загрузчик использовался для выполнения полезной нагрузки CobaltStrike и поддержания постоянства. Когда первоначальный загрузчик Crowdoor был заблокирован, злоумышленники развернули новый вариант с аналогичными возможностями.
SecureList уверенно приписал эту активность Tropic Trooper, основываясь на совпадениях с предыдущими кампаниями, включая использование определенных инструментов и тактик. Используемые инструменты и вредоносное ПО были в основном с открытым исходным кодом, поддерживались китайскими разработчиками и соответствовали методам работы Tropic Trooper. Эта кампания свидетельствует об эволюции тактики Tropic Trooper и ее постоянной нацеленности на шпионаж против правительственных организаций.
Indicators of Compromise
Domains
- techmersion.com
MD5
- 0b9ae998423a207f021f8e61b93bc849
- 103e4c2e4ee558d130c8b59bfd66b4fb
- 149a9e24dbe347c4af2de8d135aa4b76
- 1dd03936baf0fe95b7e5b54a9dd4a577
- 27c558bd42744cddc9edb3fa597d0510
- 2c7ebd103514018bad223f25026d4db3
- 3b7721715b2842cdff0ab72bd605a0ce
- 3f15c4431ad4573344ad56e8384ebd62
- 4f950683f333f5ed779d70eb38cdadcf
- 78b47dda664545542ed3abe17400c354
- 868b8a5012e0eb9a48d2daf7cb7a5d87
- 8a900f742d0e3cd3898f37dbc3d6e054
- a213873eb55dc092ddf3adbeb242bd44
- dd7593e9ba80502505c958b9bbbf2838
- e0d9215f64805e0bff03f4dc796fe52e
- e845563ba35e8d227152165b0c3e769f
- fd8382efb0a16225896d584da56c182c
