Jump to content

Нумерованная панда

    Add links
    Нумерованная панда
    Страна  Китайская Народная Республика
    Ветвь Народно-освободительная армия
    Тип Киберсила
    Расширенная постоянная угроза
    Роль Кибервойна
    Электронная война
    Помолвки

    Numbered Panda (также известная как IXESHE , DynCalc , DNSCALC и APT12 ) — это группа кибершпионажа , предположительно связанная с китайскими военными . [1] Группа обычно нацелена на организации в Восточной Азии . [1] В число этих организаций входят, помимо прочего, средства массовой информации, высокотехнологичные компании и правительства. [2] Предполагается, что Numbered Panda работает с 2009 года. [3] Тем не менее, группе также приписывают утечку данных в New York Times в 2012 году . [4] Одним из типичных методов группировки является отправка PDF- файлов, содержащих вредоносное ПО, посредством целевых фишинговых кампаний. [5] Ложные документы обычно написаны на традиционном китайском языке , который широко используется на Тайване , а цели в значительной степени связаны с тайваньскими интересами. [3] Numbered Panda, похоже, активно ищет исследования в области кибербезопасности , связанные с используемыми ими вредоносными программами. После отчета Arbor Networks о группе FireEye заметила изменение в методах группы, позволяющих избежать обнаружения в будущем. [1]

    Отчеты об обнаружении и безопасности

    [ редактировать ]

    Trend Micro впервые сообщила о Numbered Panda в официальном документе 2012 года. [5] Исследователи обнаружили, что группа начала целевые фишинговые кампании, используя вредоносное ПО Ixeshe , в основном против стран Восточной Азии примерно с 2009 года. [5] Далее CrowdStrike обсудила группу в блоге Whois Numbered Panda в 2013 году . [2] Этот пост последовал за атакой на New York Times в 2012 году и последующим репортажем об атаке в 2013 году. [4] В июне 2014 года компания Arbor Networks опубликовала отчет, в котором подробно описывается использование Etumbot компанией Numbered Panda для нападения на Тайвань и Японию . [3] В сентябре 2014 года FireEye опубликовала отчет, освещающий эволюцию группы. [1] FireEye связала публикацию отчета Arbor Network с изменением тактики Numbered Panda. [1]

    Атаки

    [ редактировать ]

    Страны Восточной Азии (2009–2011 гг.)

    [ редактировать ]

    Trend Micro сообщила о кампании против правительств стран Восточной Азии, производителей электроники и телекоммуникационной компании. [5] Numbered Panda участвовала в целевых фишинговых кампаниях по электронной почте с вредоносными вложениями. [5] Часто вредоносные вложения электронной почты представляют собой PDF-файлы, использующие CVE . 2009-4324 , CVE- 2009-09274 , CVE- 2011-06095 или CVE- CVE-2011-0611 Уязвимости в Adobe Acrobat , Adobe Reader и Flash Player . [5] Злоумышленники также использовали эксплойт, затрагивающий Microsoft Excel CVE . 2009-3129 . [5] Вредоносное ПО Ixeshe, использованное в этой кампании, позволило Numbered Panda составить список всех служб, процессов и дисков; прекращать процессы и службы; скачивать и загружать файлы; запускать процессы и службы; получить имена пользователей жертв; получить имя машины и имя домена ; загружать и выполнять произвольные файлы; заставить систему приостанавливать или спать в течение определенного количества минут; создать удаленную оболочку ; и перечислить все текущие файлы и каталоги. [5] После установки Ишеше начнет общаться с управления и контроля серверами ; часто три сервера были жестко запрограммированы для резервирования. [5] Numbered Panda часто использовала скомпрометированные серверы для создания серверов управления и контроля, чтобы повысить контроль над сетевой инфраструктурой жертвы. [5] Предполагается, что, используя эту технику, к 2012 году группа накопила шестьдесят серверов. [5] Большинство серверов управления и контроля, использованных в этой кампании, находились на Тайване и в США. [5] Base64 использовался для связи между взломанным компьютером и сервером. [5] Trend Micro обнаружила, что после декодирования сообщение представляло собой стандартизированную структуру, в которой подробно описывались имя компьютера, локальный IP-адрес , прокси-сервера IP-адрес и порт , а также идентификатор вредоносного ПО. [5] Исследователи из CrowdStrike обнаружили, что блоги и сайты WordPress часто используются в инфраструктуре управления и контроля, чтобы сетевой трафик выглядел более легитимным. [2]

    Япония и Тайвань (2011–2014 гг.)

    [ редактировать ]

    В отчете Arbor Security говорится, что Numbered Panda начала кампанию против Японии и Тайваня с использованием вредоносного ПО Etumbot в 2011 году. [3] Как и в предыдущей кампании, злоумышленники использовали файлы-приманки, такие как PDF, электронные таблицы Excel или документы Word , в качестве вложений к электронной почте, чтобы получить доступ к компьютерам жертв. [3] Большинство наблюдаемых документов были написаны на традиционном китайском языке и обычно касались интересов тайваньского правительства; несколько файлов относились к предстоящим конференциям на Тайване. [3] После того, как вредоносный файл был загружен и извлечен жертвой, Etumbot использует эксплойт переопределения справа налево , чтобы обманом заставить жертву загрузить установщик вредоносного ПО. [3] По мнению Arbor Security, «этот метод представляет собой простой способ для авторов вредоносных программ замаскировать имена вредоносных файлов. Скрытый символ Юникода в имени файла меняет порядок символов, следующих за ним, так что двоичный файл .scr выглядит как например, документ в формате .xls». [3] После установки вредоносная программа отправляет запрос на сервер управления с ключом RC4 для шифрования последующего обмена данными. [3] Как и в случае с вредоносным ПО Ixeshe, Numbered Panda использовала символы в кодировке Base64 для связи со скомпрометированными компьютерами с серверами управления и контроля. [3] Etumbot может определить, использует ли целевой компьютер прокси-сервер, и обойдет настройки прокси-сервера, чтобы напрямую установить соединение. [3] После установления связи вредоносная программа отправит зашифрованное сообщение с зараженного компьютера на сервер с указанием NetBIOS- имени системы жертвы, имени пользователя, IP-адреса и информации о том, использует ли система прокси-сервер. [3]

    После того, как отчет Arbor Security за май 2014 года подробно описал Etumbot, FireEye обнаружила, что Numbered Panda изменила части вредоносного ПО. [1] FireEye заметил, что ранее использовавшиеся протоколы и строки были изменены в июне 2014 года. [1] Исследователи FireEye полагают, что это изменение должно было помочь вредоносному ПО избежать дальнейшего обнаружения. [1] FireEye назвал эту новую версию Etumbot HighTide. [1] Numbered Panda продолжала атаковать Тайвань, проводя целевые фишинговые кампании по электронной почте с вредоносными вложениями. [1] Прикрепленные документы Microsoft Word использовали CVE - Уязвимость 2012-0158, способствующая распространению HighTide. [1] FireEye обнаружила, что взломанные учетные записи электронной почты тайваньских государственных служащих использовались в некоторых целевых фишинговых атаках. [1] HighTide отличается от Etumbot тем, что его HTTP-запрос GET изменил пользовательский агент, формат и структуру HTTP Uniform Resource Identifier , расположение исполняемого файла и базовый адрес изображения. [1]

    Нью-Йорк Таймс (2012)

    [ редактировать ]

    Считается, что нумерованная панда несет ответственность за взлом компьютерной сети газеты New York Times в конце 2012 года. [6] [4] Нападение произошло после того, как газета New York Times опубликовала историю о том, как родственники Вэнь Цзябао , шестого премьера Госсовета КНР , "нажили состояние в несколько миллиардов долларов посредством деловых отношений". [4] США Предполагается, что компьютеры, использованные для начала атаки, — это те же самые университетские компьютеры, которые китайские военные использовали для атак на военных подрядчиков . [4] Numbered Panda использовала обновленные версии вредоносных пакетов Aumlib и Ixeshe. [6] Обновленная Aumlib позволила Numbered Panda закодировать тело POST-запроса, жертвы чтобы получить информацию о BIOS , внешнем IP-адресе и операционной системе . [6] Новая версия Ixeshe изменила структуру сетевого трафика предыдущей версии, чтобы обойти существующие сигнатуры сетевого трафика, предназначенные для обнаружения инфекций, связанных с Ixeshe. [6]

    Ссылки

    [ редактировать ]
    1. ^ Jump up to: а б с д и ж г час я дж к л м Моран, Нед; Оппенгейм, Майк (3 сентября 2014 г.). «Любимая группа APT Дарвина» . Блог исследования угроз . Огненный Глаз. Архивировано из оригинала 18 июля 2017 года . Проверено 15 апреля 2017 г.
    2. ^ Jump up to: а б с Мейерс, Адам (29 марта 2013 г.). «Нумерованная панда Whois» . КраудСтрайк . Архивировано из оригинала 16 марта 2016 года . Проверено 15 апреля 2017 г.
    3. ^ Jump up to: а б с д и ж г час я дж к л «Освещение бэкдора APT Etumbot» (PDF) . Сети беседок . Июнь 2014.
    4. ^ Jump up to: а б с д и Перлрот, Николь (30 января 2013 г.). «Китайские хакеры проникли в компьютеры New York Times» . Нью-Йорк Таймс . ISSN   0362-4331 . Архивировано из оригинала 30 апреля 2017 г. Проверено 24 апреля 2017 г.
    5. ^ Jump up to: а б с д и ж г час я дж к л м н Санчо, Дэвид; Тауэр, Джесса Дела; Бакуэй, Мацукава; Вильнев, Нарт; Макардл, Роберт (2012). «IXESHE: APT-кампания» (PDF) . Тренд Микро . Архивировано (PDF) из оригинала 0 марта 2018 г. Получено 1 апреля 2017 г.
    6. ^ Jump up to: а б с д «Выживает сильнейший: злоумышленники New York Times быстро развиваются» «Блог об исследовании угроз» . Огненный Глаз . Архивировано из оригинала 21 мая 2018 г. Проверено 24 апреля 2017 г.
    Retrieved from "https://en.wikipedia.org/w/index.php?title=Numbered_Panda&oldid=1221553292"
    Arc.Ask3.Ru: конец переведенного документа.
    Arc.Ask3.Ru
    Номер скриншота №: 6d35626a1f77fd9c76a49770ddbfc0ff__1714482120
    URL1:https://arc.ask3.ru/arc/aa/6d/ff/6d35626a1f77fd9c76a49770ddbfc0ff.html
    Заголовок, (Title) документа по адресу, URL1:
    Numbered Panda - Wikipedia
    Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)