Эксперты рассказали о необычной китайской APT-группе

Эксперты рассказали о необычной китайской APT-группе

APT41 занимается кибершпионажем и преследует финансовую выгоду – редкое явления среди китайских APT.

Специалисты компании FireEye опубликовали подробности о новой APT-группе, предположительно связанной с Китаем.

Примечательной особенностью APT41 является преследование сразу двух целей – похищение ценных сведений для кибершпионажа и получение финансовой выгоды, за что эксперты FireEye назвали проводимую группировкой кампанию «Двойной дракон» (Double Dragon). Как отмечают специалисты, преследование финансовой выгоды – явление весьма редкое среди китайских APT-групп.

Впервые о APT41 компания FireEye сообщила ранее в этом месяце. Жертвами группировки становятся представители игровой индустрии, сферы здравоохранения, а также технологической, телекоммуникационной, туристической и образовательной сфер.

Как сообщают исследователи, в апреле нынешнего года они обнаружили подозрительную активность на открытом web-сервере, принадлежащем одному из университетов в США. Злоумышленники эксплуатировали уязвимость обхода каталога и выполнения кода в Atlassian Confluence Server (CVE-2019-3396) и устанавливали на системы вариант бэкдора HIGHNOON, состоящего из нескольких компонентов (загрузчика, DLL-библиотеки и руткита). Используемый в данной кампании вариант бэкдора идентифицируется FireEye как HIGHNOON.PASSIVE.

Исследователи осуществили реверс-инжиниринг используемого вредоносом кастомного протокола и расшифровали его трафик. Благодаря этому им удалось составить список отправляемых бэкдору команд. Подробнее о тактиках, техниках и процедурах APT41 можно узнать