Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Эксперты рассказали о секретном хакерском инструменте Bvp47 группировки Equation Group (http://txgate.io:443/showthread.php?t=13017)

Artifact 05-04-2025 01:05 PM

Bvp47 использовался для осуществления атак на более чем 287 объектов в различных секторах.
https://www.securitylab.ru/upload/ib...e9182d7ad2.jpg
Исследователи из китайской лаборатории Pangu Lab раскрыли подробности о бэкдоре «высшего уровня», используемом APT-группировкой Equation Group. Инструмент, получивший название Bvp47 из-за многочисленных ссылок на строку Bvp и числовое значение 0x47 в алгоритме шифрования, был обнаружен на системах под управлением Linux в ходе расследования в 2013 году.
В ходе вредоносной кампании Operation Telescreen, связанной с развертыванием Bvp47, использовался вариант вредоноса, отличающийся «расширенным поведением скрытого канала, основанным на пакетах TCP SYN, обфускации кода, сокрытии системы и тактике самоуничтожения».
Bvp47 использовался для осуществления атак на более чем 287 объектов в академическом, экономическом, военном, научном и телекоммуникационном секторах, расположенных в 45 странах, в основном в Китае, Корее, Японии, Германии, Испании, Индии и Мексике. Вредоносное ПО оставалось незамеченным более десяти лет.
Бэкдор также оснащен функцией удаленного управления, которая защищена с помощью алгоритма шифрования.
Предположительно, группировка связана с подразделением Tailored Access Operations (TAO) АНБ. Набор вредоносных программ Equation Group стал достоянием общественности в 2016 году, когда группа Shadow Brokers , обнародовала весь пакет эксплоитов, используемых элитной хакерской командой.
Инцидент, проанализированный Pangu Lab, включает два скомпрометированных изнутри сервера, сервер электронной почты и корпоративный сервер с именами V1 и V2 соответственно, а также внешний домен (обозначенный как A), использующий новый механизм двусторонней связи для кражи конфиденциальных данных из систем.
«Имеется аномальная связь между внешним хостом A и сервером V1. В частности, A сначала отправляет SYN-пакет с 264-байтовой полезной нагрузкой на порт 80 сервера V1, а затем сервер V1 немедленно инициирует внешнее соединение с высокопроизводительным портом машины A и поддерживает большой объем обмена данными», — сообщили эксперты.
«Инструмент хорошо спроектированный, мощный и широко адаптирован. Его способность к сетевым атакам, эксплуатирующим уязвимости нулевого дня, была неудержима, а его сбор данных под скрытым контролем не требовал больших усилий», — отметили специалисты.


All times are GMT. The time now is 05:50 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.