Promethium APT napadi rastu, otkriveni novi trojanizirani instalateri

  • Sep 06, 2023

Hakerska skupina koja stoji iza StrongPityja ignorira stalnu izloženost istraživača u njihovoj potrazi za globalnom inteligencijom i nadzorom.

Promethium, prijetnja grupa poznata i kao StrongPity, praćena je u novom valu napada postavljanjem proširenog popisa trojaniziranih instalatera koji zlorabe popularnost legitimnih aplikacije.

Sigurnost

  • 8 navika iznimno sigurnih radnika na daljinu
  • Kako pronaći i ukloniti špijunski softver s telefona
  • Najbolje VPN usluge: Kako se uspoređuju prvih 5?
  • Kako saznati jeste li uključeni u povredu podataka -- i što učiniti sljedeće

Aktivna otprilike od 2002., Promethium Advanced Persistent Prijetnja (APT) grupa je uvijek iznova razotkrivena od strane sigurnosni istraživači i jedinice za građanska prava za plodan nadzor i prikupljanje obavještajnih podataka povezanih s političkim mete.

Obično se Promethium usredotočio na mete diljem Turske i Sirije, iako je grupa u prošlosti također zaronila u Italiju i Belgiju.

U novim, zasebnim izvješćima istraživači

iz Cisco Talosa i BitDefender (.PDF) otkrili su ne samo nove zemlje na popisu za odstrel, već i nadograđeni arsenal dizajniran za kompromitiranje žrtvinih strojeva.

Talos je pratio otprilike 30 novih zapovjedno-kontrolnih (C2) poslužitelja koji pripadaju Promethiumu koji je povezan s evoluiranim oblik zlonamjernog softvera grupe za nadzor, StrongPity3, za koji se također vjeruje da je povezan s državno pokroviteljstvo.

Vidi također: Kampanja špijuniranja PhantomLance krši sigurnost Google Playa

Kako bi sakrio aktivnosti špijunskog softvera, BitDefender kaže da C2 mreža koju je tim pratio ima tri infrastrukturnih slojeva, uključujući korištenje proxy poslužitelja, VPN-ova i IP adresa koje primaju proslijeđeni podaci. Ukupno je tim mapirao 47 poslužitelja s različitim funkcionalnostima.

Prema Talosu, popis ciljanih zemalja sada uključuje Kolumbiju, Indiju, Kanadu i Vijetnam. BitDefenderovo izvješće navodi mete koje se nalaze blizu granice između Turske i Sirije, kao i Istanbula, za koji tim kaže "provodi ideju da bi ova prijetnja mogla biti uključena u geopolitički sukob između Turske i kurdske zajednice."

Kako bi zarazio više žrtava, APT je ojačao svoj alat upotrebom novih trojaniziranih instalacijskih datoteka dizajniranih za postavljanje StrongPity3 špijunskog softvera.

To uključuje verziju preglednika Firefox na turskom jeziku, zlonamjerne datoteke VPN PRO, DriverPack i 5kPlayer, no možda postoje i druge.

Trojanizirane datoteke instalirat će legitimnu aplikaciju na kompromitirano računalo, zajedno sa zlonamjernim softverom, u pokušaju kako bi se izbjeglo otkrivanje i spriječilo izazivanje sumnje kod žrtve kada se njihov očekivani softver ne ostvari.

CNET: Google prikuplja zastrašujuću količinu podataka o vama. Sada ga možete pronaći i izbrisati

Dok je ispitivao instalatere povezane s akterima prijetnji, BitDefender je primijetio da dropperi zlonamjernog softvera imaju vrijeme kompajliranja koji ukazuju na normalne radne tjedne i rasporede od 9 do 6, što bi moglo sugerirati da kampanja uključuje plaćenog programera timovi.

Glavne razlike između StrongPity3 i prethodne verzije, StrongPity2, su prebacivanje s libcurla za winhttp prilikom izvođenja C2 zahtjeva i mehanizam postojanosti pretvoren iz ključa registra u a servis. APT-ovi najnoviji obrasci napada slijede trend nadzora, zajedno s eksfiltracijom svih Microsoft Office datoteka otkrivenih na kompromitiranom računalu.

Iako tim Talosa nije uspio pratiti početni vektor napada, istraživači kažu da bi datoteke mogle sletjeti putem a watering hole napad ili presretanje in-path zahtjeva -- s ISP-om koji izvodi HTTP preusmjeravanje -- kako je opisano CitizenLab u izvješće za 2018 o aktivnostima Promethiuma.

Izvješće CitizenLaba dokumentira korištenje uređaja Sandvine/Procera Networks Deep Packet Inspection (DPI) za presretanje prometa i isporučivati ​​zlonamjerni softver u Turskoj i Siriji, kao i provoditi zlonamjerno oglašavanje i tajno rudariti kriptovalute diljem Egipta.

TechRepublic: Što je Gaia-X? Vodič kroz europski plan za borbu protiv računalstva u oblaku

"Prometij je bio otporan tijekom godina", kaže Talos. “Njegove kampanje razotkrivene su nekoliko puta, ali to nije bilo dovoljno da akteri iza nje prestanu. Činjenica da se grupa ne suzdržava od pokretanja novih kampanja čak ni nakon što je razotkrivena pokazuje njihovu odlučnost da ostvare svoju misiju."

Najveći hakovi, povrede podataka 2020. (do sada)

Prethodno i povezano izvješće

  • Američko Cyber ​​zapovjedništvo kaže da će strani hakeri najvjerojatnije iskoristiti novi sigurnosni bug PAN-OS-a
  • Ruski APT Turla cilja na 35 zemalja na temelju iranske infrastrukture
  • Platinum APT-ov novi Titanium backdoor oponaša popularni PC softver kako bi ostao skriven

Imate savjet? Stupite u kontakt sigurno putem WhatsAppa | Signal na +447713 025 499 ili na Keybase: charlie0