Заканувачка група поврзана со Кина користи политика на Windows Group за распоредување на шпионски малициозен софтвер

Претходно недокументирана заканувачка група поврзана со Кина, наречена LongNosedGoblin, е поврзана со серија сајбер-напади насочени кон владини институции во Југоисточна Азија и Јапонија.

Крајната цел на овие напади е сајбер-шпионажа, соопшти словачката компанија за сајбер-безбедност ESET во извештај објавен денес. Проценето е дека оваа група е активна најмалку од септември 2023 година.

„LongNosedGoblin користи Group Policy за распоредување малициозен софтвер низ компромитираната мрежа, како и cloud сервиси (на пр. Microsoft OneDrive и Google Drive) како command-and-control (C&C) сервери“, изјавија безбедносните истражувачи Антон Черепанов и Петер Стричек.

Group Policy е механизам за управување со поставки и дозволи на Windows компјутери. Според Microsoft, Group Policy може да се користи за дефинирање конфигурации за групи корисници и клиентски компјутери, како и за управување со сервери.

Нападите се карактеризираат со употреба на разновиден сопствен (custom) алатен сет, кој главно се состои од C#/.NET апликации:

• NosyHistorian – за собирање историја на прелистување од Google Chrome, Microsoft Edge и Mozilla Firefox
• NosyDoor – backdoor што користи Microsoft OneDrive како C&C и извршува команди кои овозможуваат изнесување (exfiltration) фајлови, бришење фајлови и извршување shell команди
• NosyStealer – за изнесување податоци од прелистувачите Google Chrome и Microsoft Edge кон Google Drive, во форма на енкриптирана TAR архива
• NosyDownloader – за преземање и извршување payload директно во меморија, како што е NosyLogger
• NosyLogger – модифицирана верзија на DuckSharp, која се користи за евидентирање на притисоци на тастатурата (keylogging)

ESET соопшти дека за првпат детектирала активност поврзана со оваа хакерска група во февруари 2024 година, на систем на владина институција во Југоисточна Азија, при што подоцна било утврдено дека Group Policy бил користен за испорака на малициозниот софтвер на повеќе системи во рамки на истата организација. Точните методи за иницијален пристап што биле користени во нападите засега се непознати.

Понатамошната анализа утврдила дека, иако многу жртви биле погодени од NosyHistorian помеѓу јануари и март 2024 година, само дел од нив биле заразени со NosyDoor, што укажува на понасочен (таргетиран) пристап. Во некои случаи, dropper-от што се користел за распоредување на backdoor-от преку AppDomainManager injection содржел „извршни заштитни механизми“ (execution guardrails), дизајнирани да го ограничат работењето само на машините на конкретни жртви.

LongNosedGoblin користи и други алатки, како што се reverse SOCKS5 proxy, алатка за стартување видео-рекордер за снимање аудио и видео, како и Cobalt Strike loader.

Компанијата за сајбер-безбедност наведе дека техниките и начинот на работа (tradecraft) на овој актер покажуваат слаби преклопувања со кластери следени под имињата ToddyCat и Erudite Mogwai, но нагласи дека нема цврсти докази што дефинитивно ги поврзуваат. Сепак, сличностите меѓу NosyDoor и LuckyStrike Agent, како и присуството на фразата „Paid Version“ во PDB патеката на LuckyStrike Agent, ја отвораат можноста дека малициозниот софтвер се продава или лиценцира на други заканувачки актери.

„Подоцна идентификувавме уште еден случај на варијанта на NosyDoor насочена кон организација во една земја од ЕУ, повторно користејќи различни TTP-ја и користејќи го cloud сервисот Yandex Disk како C&C сервер“, забележаа истражувачите. „Употребата на оваа варијанта на NosyDoor сугерира дека малициозниот софтвер можеби се споделува меѓу повеќе заканувачки групи поврзани со Кина.“

Извори:

• The Hacker News – China-Aligned Threat Group Uses Windows Group Policy to Deploy Espionage Malware The Hacker News