Нумерованная панда

Нумерованная панда
Нумерованная панда
Страна	Китайская Народная Республика
Ветвь	Народно-освободительная армия
Тип	Киберсила ; Расширенная постоянная угроза
Роль	Кибервойна ; Электронная война
Помолвки	Операция «Двойное касание» ; Операция Тайная Лиса ;

Numbered Panda (также известная как IXESHE , DynCalc , DNSCALC и APT12 ) — это группа кибершпионажа , предположительно связанная с китайскими военными . ^{[ 1 ]} Группа обычно нацелена на организации в Восточной Азии . ^{[ 1 ]} В число этих организаций входят, помимо прочего, средства массовой информации, высокотехнологичные компании и правительства. ^{[ 2 ]} Предполагается, что Numbered Panda работает с 2009 года. ^{[ 3 ]} Тем не менее, группе также приписывают утечку данных в New York Times в 2012 году . ^{[ 4 ]} Один из типичных методов группировки — рассылка PDF- файлов, содержащих вредоносное ПО, посредством целевых фишинговых кампаний. ^{[ 5 ]} Ложные документы обычно написаны на традиционном китайском языке , который широко используется на Тайване , а цели в значительной степени связаны с тайваньскими интересами. ^{[ 3 ]} Numbered Panda, похоже, активно ищет исследования в области кибербезопасности , связанные с используемыми ими вредоносными программами. После отчета Arbor Networks о группе FireEye заметила изменение в методах группы, позволяющих избежать обнаружения в будущем. ^{[ 1 ]}

Отчеты об обнаружении и безопасности

Trend Micro впервые сообщила о Numbered Panda в официальном документе 2012 года. ^{[ 5 ]} Исследователи обнаружили, что группа начала целевые фишинговые кампании, используя вредоносное ПО Ixeshe , в основном против стран Восточной Азии примерно с 2009 года. ^{[ 5 ]} Далее CrowdStrike обсудила группу в блоге Whois Numbered Panda в 2013 году . ^{[ 2 ]} Этот пост последовал за атакой на New York Times в 2012 году и последующим репортажем об атаке в 2013 году. ^{[ 4 ]} В июне 2014 года компания Arbor Networks опубликовала отчет с подробным описанием использования Etumbot компанией Numbered Panda для нападения на Тайвань и Японию . ^{[ 3 ]} В сентябре 2014 года FireEye опубликовала отчет, освещающий эволюцию группы. ^{[ 1 ]} FireEye связала публикацию отчета Arbor Network с изменением тактики Numbered Panda. ^{[ 1 ]}

Атаки

Страны Восточной Азии (2009–2011 гг.)

Trend Micro сообщила о кампании против правительств стран Восточной Азии, производителей электроники и телекоммуникационной компании. ^{[ 5 ]} Numbered Panda участвовала в целевых фишинговых кампаниях по электронной почте с вредоносными вложениями. ^{[ 5 ]} Часто вредоносные вложения электронной почты представляют собой PDF-файлы, использующие CVE . 2009-4324 , CVE- 2009-09274 , CVE- 2011-06095 или CVE- CVE-2011-0611 Уязвимости в Adobe Acrobat , Adobe Reader и Flash Player . ^{[ 5 ]} Злоумышленники также использовали эксплойт, затрагивающий Microsoft Excel — CVE . 2009-3129 . ^{[ 5 ]} Вредоносное ПО Ixeshe, использованное в этой кампании, позволило Numbered Panda составить список всех служб, процессов и дисков; прекращать процессы и службы; скачивать и загружать файлы; запускать процессы и службы; получить имена пользователей жертв; получить имя машины и имя домена ; загружать и выполнять произвольные файлы; заставить систему приостанавливать или спать в течение определенного количества минут; создать удаленную оболочку ; и перечислить все текущие файлы и каталоги. ^{[ 5 ]} После установки Ишеше начнет общаться с управления и контроля серверами ; часто три сервера были жестко запрограммированы для резервирования. ^{[ 5 ]} Numbered Panda часто использовала скомпрометированные серверы для создания серверов управления и контроля, чтобы повысить контроль над сетевой инфраструктурой жертвы. ^{[ 5 ]} Предполагается, что, используя эту технику, к 2012 году группа накопила шестьдесят серверов. ^{[ 5 ]} Большинство серверов управления и контроля, использованных в этой кампании, находились на Тайване и в США. ^{[ 5 ]} Base64 использовался для связи между взломанным компьютером и сервером. ^{[ 5 ]} Trend Micro обнаружила, что после декодирования сообщение представляло собой стандартизированную структуру, в которой подробно описывались имя компьютера, локальный IP-адрес , прокси-сервера IP-адрес и порт , а также идентификатор вредоносного ПО. ^{[ 5 ]} Исследователи из CrowdStrike обнаружили, что блоги и сайты WordPress часто используются в инфраструктуре управления и контроля, чтобы сетевой трафик выглядел более легитимным. ^{[ 2 ]}

Япония и Тайвань (2011–2014 гг.)

В отчете Arbor Security говорится, что Numbered Panda начала кампанию против Японии и Тайваня с использованием вредоносного ПО Etumbot в 2011 году. ^{[ 3 ]} Как и в предыдущей кампании, злоумышленники использовали файлы-приманки, такие как PDF, электронные таблицы Excel или документы Word , в качестве вложений к электронной почте, чтобы получить доступ к компьютерам жертв. ^{[ 3 ]} Большинство наблюдаемых документов были написаны на традиционном китайском языке и обычно касались интересов тайваньского правительства; несколько файлов относились к предстоящим конференциям на Тайване. ^{[ 3 ]} После того как вредоносный файл был загружен и извлечен жертвой, Etumbot использует эксплойт переопределения справа налево , чтобы обманом заставить жертву загрузить установщик вредоносного ПО. ^{[ 3 ]} По данным Arbor Security, «этот метод представляет собой простой способ для авторов вредоносных программ замаскировать имена вредоносных файлов. Скрытый символ Юникода в имени файла меняет порядок символов, следующих за ним, так что двоичный файл .scr выглядит как например, документ в формате .xls». ^{[ 3 ]} После установки вредоносная программа отправляет запрос на сервер управления с ключом RC4 для шифрования последующего обмена данными. ^{[ 3 ]} Как и в случае с вредоносным ПО Ixeshe, Numbered Panda использовала символы в кодировке Base64 для связи со скомпрометированными компьютерами с серверами управления и контроля. ^{[ 3 ]} Etumbot может определить, использует ли целевой компьютер прокси-сервер, и обойдет настройки прокси-сервера, чтобы напрямую установить соединение. ^{[ 3 ]} После установления связи вредоносная программа отправит зашифрованное сообщение с зараженного компьютера на сервер с указанием NetBIOS- имени системы жертвы, имени пользователя, IP-адреса и сведения о том, использует ли система прокси-сервер. ^{[ 3 ]}

После того, как отчет Arbor Security за май 2014 года подробно описал Etumbot, FireEye обнаружила, что Numbered Panda изменила части вредоносного ПО. ^{[ 1 ]} FireEye заметил, что ранее использовавшиеся протоколы и строки были изменены в июне 2014 года. ^{[ 1 ]} Исследователи FireEye полагают, что это изменение должно было помочь вредоносному ПО избежать дальнейшего обнаружения. ^{[ 1 ]} FireEye назвал эту новую версию Etumbot HighTide. ^{[ 1 ]} Numbered Panda продолжала атаковать Тайвань, проводя целевые фишинговые кампании по электронной почте с вредоносными вложениями. ^{[ 1 ]} Прикрепленные документы Microsoft Word использовали CVE - Уязвимость 2012-0158, способствующая распространению HighTide. ^{[ 1 ]} FireEye обнаружила, что взломанные учетные записи электронной почты тайваньских государственных служащих использовались в некоторых целевых фишинговых атаках. ^{[ 1 ]} HighTide отличается от Etumbot тем, что его HTTP-запрос GET изменил пользовательский агент, формат и структуру HTTP Uniform Resource Identifier , расположение исполняемого файла и базовый адрес изображения. ^{[ 1 ]}

Нью-Йорк Таймс (2012)

Считается, что нумерованная панда несет ответственность за взлом компьютерной сети газеты New York Times в конце 2012 года. ^{[ 6 ]}^{[ 4 ]} Нападение произошло после того, как газета New York Times опубликовала историю о том, как родственники Вэнь Цзябао , шестого премьера Госсовета Китайской Народной Республики , «нажили состояние в несколько миллиардов долларов посредством деловых отношений». ^{[ 4 ]} США Предполагается, что компьютеры, использованные для начала атаки, — это те же самые университетские компьютеры, которые китайские военные использовали для атак на военных подрядчиков . ^{[ 4 ]} Numbered Panda использовала обновленные версии вредоносных пакетов Aumlib и Ixeshe. ^{[ 6 ]} Обновленная Aumlib позволила Numbered Panda закодировать тело POST-запроса, жертвы чтобы получить информацию о BIOS , внешнем IP-адресе и операционной системе . ^{[ 6 ]} Новая версия Ixeshe изменила структуру сетевого трафика предыдущей версии, пытаясь обойти существующие сигнатуры сетевого трафика, предназначенные для обнаружения инфекций, связанных с Ixeshe. ^{[ 6 ]}

Ссылки

^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м Моран, Нед; Оппенгейм, Майк (3 сентября 2014 г.). «Любимая группа APT Дарвина» . Блог исследования угроз . Огненный Глаз. Архивировано из оригинала 18 июля 2017 года . Проверено 15 апреля 2017 г.
^ Jump up to: ^а ^б ^с Мейерс, Адам (29 марта 2013 г.). «Нумерованная панда Whois» . КраудСтрайк . Архивировано из оригинала 16 марта 2016 года . Проверено 15 апреля 2017 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л «Освещение бэкдора APT Etumbot» (PDF) . Сети беседок . Июнь 2014.
^ Jump up to: ^а ^б ^с ^д ^и Перлрот, Николь (30 января 2013 г.). «Китайские хакеры проникли в компьютеры New York Times» . Нью-Йорк Таймс . ISSN 0362-4331 . Архивировано из оригинала 30 апреля 2017 г. Проверено 24 апреля 2017 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н Санчо, Дэвид; Тауэр, Джесса Дела; Бакуэй, Мацукава; Вильнев, Нарт; Макардл, Роберт (2012). «IXESHE: APT-кампания» (PDF) . Тренд Микро . Архивировано (PDF) из оригинала 0 марта 2018 г. Получено 1 апреля 2017 г.
^ Jump up to: ^а ^б ^с ^д «Выживает сильнейший: злоумышленники New York Times быстро развиваются» «Блог об исследовании угроз» . Огненный Глаз . Архивировано из оригинала 21 мая 2018 г. Проверено 24 апреля 2017 г.

[:0-1] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м Моран, Нед; Оппенгейм, Майк (3 сентября 2014 г.). «Любимая группа APT Дарвина» . Блог исследования угроз . Огненный Глаз. Архивировано из оригинала 18 июля 2017 года . Проверено 15 апреля 2017 г.

[:5-2] Jump up to: ^а ^б ^с Мейерс, Адам (29 марта 2013 г.). «Нумерованная панда Whois» . КраудСтрайк . Архивировано из оригинала 16 марта 2016 года . Проверено 15 апреля 2017 г.

[:1-3] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л «Освещение бэкдора APT Etumbot» (PDF) . Сети беседок . Июнь 2014.

[:4-4] Jump up to: ^а ^б ^с ^д ^и Перлрот, Николь (30 января 2013 г.). «Китайские хакеры проникли в компьютеры New York Times» . Нью-Йорк Таймс . ISSN 0362-4331 . Архивировано из оригинала 30 апреля 2017 г. Проверено 24 апреля 2017 г.

[:2-5] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н Санчо, Дэвид; Тауэр, Джесса Дела; Бакуэй, Мацукава; Вильнев, Нарт; Макардл, Роберт (2012). «IXESHE: APT-кампания» (PDF) . Тренд Микро . Архивировано (PDF) из оригинала 0 марта 2018 г. Получено 1 апреля 2017 г.

[:3-6] Jump up to: ^а ^б ^с ^д «Выживает сильнейший: злоумышленники New York Times быстро развиваются» «Блог об исследовании угроз» . Огненный Глаз . Архивировано из оригинала 21 мая 2018 г. Проверено 24 апреля 2017 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]