FireEye: Группа российских хакеров прячет вредоносную активность внутри легитимного трафика

image

Теги: FireEye, бэкдор, хакерская группировка, облачные технологии, безопасность хранилищ данных

Высококвалифицированные хакеры используют сложный инструмент HAMMERTOSS.

Как сообщается в отчете компании FireEye, группа высококвалифицированных российских хакеров применяет инструмент HAMMERTOSS для сокрытия вредоносной активности внутри трафика легитимных сетей, например, популярных сервисов Twitter, GitHub и облачных хранилищ.

Бэкдор HAMMERTOSS был обнаружен исследователями из FireEye в начале текущего года. По словам экспертов, он использовался группой российских хакеров для передачи команд и сбора данных из скомпрометированных систем. Исследователи сообщили, что группа, которую они назвали APT29, является одной из наиболее квалифицированных и умелых, деятельность которых им доводилось отслеживать.

Как пояснили в FireEye, работа HAMMERTOSS осуществляется в несколько этапов. На первом этапе бэкдор использует определенные учетные записи в Twitter, которые созданы с помощью предсказуемого алгоритма и ежедневно меняются. Вредонос ждет публикацию, содержащую хэштег и URL-адрес, с которого загружает изображение. На первый взгляд это изображение кажется обычным, однако в нем скрыты стеганографические данные и дальнейшие инструкции для бэкдора. На последнем этапе HAMMERTOSS использует PowerShell для выполнения команд на скомпрометированном хосте.

Примечательно, что HAMMERTOSS в арсенале APT29 является не часто используемым, а скорее, дополнительным инструментом на случай, если основной будет раскрыт. Эксперты предполагают, что в случае обнаружения злоумышленники модифицируют бэкдор или вовсе прекращают использовать его вариации и создают новое вредоносное ПО.  

Автор: Александр Антипов

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.