Скрытные бэкдоры, брутфорс и манипуляция реестром – это только часть инструментов предприимчивых хакеров.
Специалисты Symantec Threat Labs сообщают , что новая APT-группа Lancefly использует специальный бэкдор Merdoor для атак на правительственные, авиационные и телекоммуникационные организации в Южной и Юго-Восточной Азии.
По данным Symantec, Lancefly с 2018 года развертывает скрытный бэкдор Merdoor в узконаправленных атаках для обеспечения постоянства, выполнения команд и выполнения кейлоггинга в корпоративных сетях. Считается, что мотивом кампаний является сбор разведданных.
Исследователи Symantec не обнаружили исходный вектор заражения, но нашли доказательства того, что Lancefly на протяжении многих лет использует фишинговые электронные письма, брутфорс учетных данных SSH и эксплуатацию уязвимостей общедоступных серверов для получения несанкционированного доступа.
Как только злоумышленники попадают в систему цели, они внедряют бэкдор Merdoor с помощью боковой загрузки DLL (DLL Sideloading) в легитимные процессы Windows, что позволяет вредоносному ПО избежать обнаружения. Возможности Merdoor:
- Merdoor устанавливает себя как службу, которая сохраняется между перезагрузками. Это позволяет сохранить постоянный доступ и закрепиться в системе;
- Merdoor устанавливает связь с C2-сервером, используя один из нескольких поддерживаемых протоколов связи (HTTP, HTTPS, DNS, UDP и TCP) и ожидает инструкций;
- Merdoor также может принимать команды, прослушивая локальные порты, но аналитики Symantec не привели конкретных примеров такого взаимодействия;
- Бэкдор также регистрирует нажатия клавиш пользователя для захвата учетных данных и другой ценной информации.
Также было замечено, что Lancefly использует функцию «Atexec» Impacket для немедленного выполнения запланированной задачи на удаленной машине через протокол SMB. Эксперты предполагают, что злоумышленники используют функцию для распространения на другие устройства в сети или для удаления выходных файлов, созданных другими командами.
Киберпреступники пытаются украсть учетные данные, выгружая память процесса LSASS или похищая кусты реестра SAM и SYSTEM. Кроме того, Lancefly шифрует украденные файлы, используя поддельную версию WinRAR, а затем извлекает данные с помощью Merdoor.
В атаках Lancefly также наблюдалось использование более новой, легкой и многофункциональной версии руткита ZXShell , который используется для доставки полезной нагрузки, соответствующей архитектуре системы хоста, чтения и выполнения шелл-кода из файла, уничтожения процессов и многого другого. Руткит использует утилиту установки и обновления, которая имеет общий код с загрузчиком Merdoor, что указывает на то, что Lancefly использует общую кодовую базу для своих инструментов.
Исследователи не смогли приписать группировку Lancefly конкретной стране, но использование RAT-троянов PlugX и ShadowPad, которые используются несколькими китайскими APT-группами, позволяет связать группу с Китаем.
05-19-2025, 09:59 AM
Threaded Mode