Эксперты связали APT41 с отдельными фишинговыми кибератаками

Специалисты в области кибербезопасности из BlackBerry Research and Intelligence связали китайскую киберпреступную группировку APT41 (также известную как Barium или Winnti) с, казалось бы, разрозненными вредоносными кампаниями с использованием вредоносного ПО. Эксперты сопоставили части сетевой инфраструктуры группировки с фишинговыми атаками на пользователей в Индии, в ходе которых использовались приманки на тему COVID-19.

APT41 еще с 2012 года осуществляет спонсируемую государством Китая шпионскую деятельность в сочетании с финансово мотивированными операциями для личной выгоды. Преступники атаковали сферу здравоохранения, высоких технологий и телекоммуникаций для обеспечения долгосрочного доступа и облегчения кражи интеллектуальной собственности. Группировка известна кибератаками, направленными на кражу исходного кода и цифровых сертификатов, манипулирование виртуальной валютой и установку программ-вымогателей, а также компрометацию цепочки поставок программного обеспечения путем внедрения вредоносного кода в легитимные файлы.

Исследование BlackBerry основано на предыдущих выводах Mandiant в марте 2020 года, в которых подробно описывается «глобальная кампания взломов», организованная APT41 путем эксплуатации ряда уязвимостей в устройствах Cisco и Citrix. Преступники устанавливали полезные нагрузки следующего этапа, которые впоследствии загружали маячки Cobalt Strike на взломанные системы. Загрузчик отличался использованием гибкого профиля C&C-сервера, позволявший маячкам объединять свои сетевые коммуникации с удаленным сервером в легитимный трафик, исходящий из сети жертвы.

BlackBerry, обнаружившая аналогичный профиль C&C-сервера, загруженный на GitHub 29 марта китайским исследователем безопасности под псевдонимом 1135, использовала информацию о конфигурации метаданных для идентификации нового кластера доменов, связанных с APT41, которые пытаются замаскировать трафик маячков под легитимный трафик с сайтов Microsoft.

Результаты последующего анализа URL-адресов выявили три вредоносных PDF-файла, которые были загружены на один из вышеупомянутых доменов. Документы предположительно использовались в фишинговых письмах в качестве рекомендаций по COVID-19, выпущенными правительством Индии, или уведомлений о последних законах о подоходном налоге.

Вложения представляли собой файлы .LNK или .ZIP, которые при открытии отображениют жертве PDF-документ, в то время как в фоновом режиме цепочка заражения приводит к выполнению маячков Cobalt Strike. Хотя атаки с использованием аналогичных фишинговых приманок, обнаруженных в сентябре 2020 года, были связаны с Evilnum, эксперты заявили, что индикаторы взлома указывают на кампанию APT41.