Группировка Tropic Trooper годами атакует сети военно-морских ведомств
15 мая 2020 года
Специалисты из компании Trend Micro сообщили о вредоносной кампании, в ходе которой киберпреступная группировка Tropic Trooper на протяжении нескольких лет использует вредоносное ПО USBferry для осуществления атак направленного фишинга на физически изолированные сети тайваньских и филиппинских военных организаций, военно-морских ведомств, государственных учреждений, военных госпиталей и даже национального банка.
По словам экспертов, USBferry способен выполнять различные команды, поддерживать скрытность в средах и похищать важные данные через USB-хранилище. Вредоносная кампания началась еще в 2018 году, однако анализ данных показал, что атаки с использованием USBferry осуществляются как минимум с 2014 года. Преступники сосредоточены на краже конфиденциальной информации и разведданных, связанных с обороной и военно-морским флотом, из целевых сетей.
Исследователи в ходе анализа обнаружили три версии вредоноса USBferry с различными вариантами и компонентами.
Первая версия содержит небольшой компонент TROJ_YAHOYAH. Вредоносная программа пытается проверить наличие подключаемого USB-модуля на целевой машине и копирует установщик USBferry в USB-накопитель. Действия варьируются в целевых средах; некоторые из них выполняют команды, исходные целевые файлы или списки папок, а также копируют файлы с физически изолированных хостов на скомпрометированные хосты.
Вторая версия имеет те же возможности, что и первая, и объединяет компоненты в один исполняемый файл. Данная версия изменяет местоположение вредоносного ПО и его имя на UF — сокращение от USBferry.
Третья сохраняет возможности предыдущих версий и улучшает скрытность в целевой среде, находясь в памяти rundll32.exe.
Tropic Trooper в последнее время изменила способ использования USBferry в своих атаках. Группировка использует стратегию заражения USB-червем и размещает установщик вредоносного ПО через USB в физически изолированном хосте. Вредонос поверяет подключение к сети и если обнаруживает, что сеть недоступна, он пытается собрать информацию с целевой машины и скопировать собранные данные на USB-накопитель. Таким образом, USB отфильтровывает информацию и отправляет ее обратно на C&C-сервер.
Tropic Trooper в ходе атак также использовала бэкдоры WelCome To Svchost 3.2 20110818, Welcome To IDShell 1.0 20150310 и Hey! Welcome Server 2.0.
Среди других инструментов, используемых Tropic Trooper, эксперты обнаружили средство ретрансляции портов, взаимодействующее с бэкдорами, загрузчики полезной нагрузки и инструменты сканирования портов, доступных в Сети.
Источники править
Эта статья содержит материалы из статьи «Группировка Tropic Trooper годами атакует сети военно-морских ведомств», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.