група Ke3chang націлена на дипломатичні місії

12:30
група Ke3chang націлена на дипломатичні місії

    Група Ke3chang, також відома як APT15, є групою загроз, імовірно діючої за межами Китаю. FireEye звітувала в 2013 році щодо операції Ke3chang — кампанії по кібершпіонажу, спрямованої проти дипломатичних організацій в Європі. 

ESET відстежували шкідливі дії, пов'язані з цим суб'єктом загрози, і виявили раніше недокументоване сімейство шкідливих програм з сильними зв'язками з групою Ke3chang — бекдор, який назвали Okrum. 

    Бэкдор Okrum — это динамически подключаемая библиотека, которая устанавливается и загружается двумя компонентами более ранней стадии. Во время нашего исследования реализация этих двух компонентов часто менялась. Каждые несколько месяцев авторы активно меняли реализацию компонентов загрузчика и установщика Okrum, чтобы избежать обнаружения. К моменту публикации системы ESET обнаружили семь разных версий компонента загрузчика и две версии установщика, хотя функциональность осталась прежней.

Полезные данные Okrum скрыты в файле PNG. Когда файл просматривается в средстве просмотра изображений, отображается знакомое изображение, как показано на рисунке 2, но загрузчики Okrum могут найти дополнительный зашифрованный файл, который пользователь не может увидеть. Этот метод стеганографии является попыткой злоумышленников остаться незамеченными и уклониться от обнаружения.

Бекдор Okrum — це бібліотека що динамічно підключається, яка встановлюється і завантажується двома компонентами більш ранньої стадії. Під час дослідження реалізація цих двох компонентів часто змінювалася. Кожні кілька місяців автори активно змінювали реалізацію компонентів завантажувача і установника Okrum, щоб уникнути виявлення. До моменту публікації системи ESET виявили сім різних версій компонента завантажувача і дві версії установника, хоча функціональність залишилася колишньою.

     Корисні дані Okrum приховані в файлі PNG. Коли файл проглядається в програмі перегляду зображень, відображається знайоме зображення, як показано на малюнку 2, але завантажувачі Okrum можуть знайти додатковий зашифрований файл, який користувач не може побачити. Цей метод стеганографії є спробою зловмисників залишитися непоміченими і ухилитися від виявлення.
Малюнок 2. Нешкідливо виглядає зображення PNG з зашифрованою шкідливою DLL, вбудовану всередину
    Що стосується функціональності, Okrum оснащений тільки базовими командами бекдора, такими як завантаження і вивантаження файлів, виконання файлів і команди оболонки. Велика частина зловмисних дій повинна виконуватися шляхом введення команд оболонки вручну або за допомогою інших інструментів і програмного забезпечення. Це звичайна практика групи Ke3chang, на яку також вказувалося раніше в звітах Intezer і NCC Group з моніторингу активності групи Ke3chang.
       Дійсно, ESET виявили, що Okrum зловживає різними зовнішніми інструментами, такими як кейлоггер, інструменти для скидання паролів або перерахування мережевих сеансів. Бекдори Ketrican, які виявили з 2015 по 2019 рік, використовували аналогічні утиліти. Ми можемо тільки здогадуватися, чому оператор Ke3chang використовує цю техніку — можливо, поєднання простого бекдора і зовнішніх інструментів повністю відповідає їхнім потребам, і в той же час його легше розробляти; але це також може бути спробою уникнути поведінкового виявлення.
      Методи ухилення від виявлення, які спостерігалися в шкідливій програмі Okrum, включають в себе впровадження шкідливого корисного навантаження в легітимне зображення PNG, використання декількох прийомів проти емуляції і пісочниці, а також часті зміни в реалізації.
   З великою впевненістю можна стверджувати, що Okrum управляється групою Ke3chang. Задокументувавши діяльність групи Ke3chang з 2015 по 2019 рік, ESET прийшли до висновку, що група продовжує працювати і з часом працює над поліпшенням свого коду.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.