Хакерская группа APT10 известна специалистам под разными именами, в том числе Red Apollo (PwC), CVNX (BAE Systems), Stone Panda (CrowdStrike), POTASSIUM (Microsoft) и MenuPass (Trend Micro). По информации Минюста США, первые атаки APT10 были зафиксированы еще в далеком 2006 году: тогда хакеры использовали направленный фишинг для сбора учетных данных сотрудников различных компаний. С помощью этих логинов и паролей злоумышленники внедряли в сети компаний вирус и похищали интеллектуальную собственность сотнями гигабайт.
В недавних двух атаках, получивших название LookBack, используются фишинговые электронные письма, присланные, якобы, от экзаменационных комиссий, где во вложениях содержатся файлы Microsoft Word с вредоносным кодом.
Нынешний отчет исследователей является продолжением отчета, опубликованного 2 августа. В то время сообщалось, что фишинговые письма получили только три компании в период с 19 по 25 июля. Однако, судя по новому отчету, вредоносная операция оказалась масштабнее, чем предполагалось изначально.
Публикация августовского отчета никак не отразилась на активности киберпреступников (за исключением незначительных изменений в тактике), и кампания продолжилась до конца августа.
Если изначально фишинговые письма маскировались под сообщения от Национального совета экзаменаторов инженерии и исследований США (NCEES), то в августе злоумышленники стали рассылать письма от имени организации Global Energy Certification (GEC).
Эксперты Proofpoint сообщают, что на этот раз в письма были вложены безобидные документы наряду с вредоносными. Вполне вероятно, что это представляет собой попытку социальной инженерии со стороны хакеров, дабы повысить доверие получателей электронной почты.
После открытия вредоносного файла Word DOC от жертвы требовалось включить макросы, после чего встроенный VBA-скрипт загружал на систему троян LookBack. Данный вредонос написан на C++ и появился сравнительно недавно. Для передачи данных с инфицированного компьютера на удаленный сервер троян использует прокси. LookBack позволяет просматривать процессы, систему и файлы, удалять файлы, выполнять команды, делать снимки экрана, перемещать курсор и кликать мышью, перезагружать компьютер и способен удалять себя с зараженного хоста.
"В недавних атаках, - объясняет вице-президент Proofpoint Кевин Эпштейн, - мы наблюдали, как агенты APT, ответственные за обновление технологии фишинга LookBack (макросы), возможно, уклоняются от обнаружения. Это свидетельствует о том, что с точки зрения разработки инструментов они пытаются улучшить и повысить показатели успешности своих кампаний".
Ранее сообщалось, что китайские правительственные киберпреступники из группы APT3 смогли выкрасть у АНБ США опасные инструменты для осуществления кибератак. Об этом говорилось в отчете компании Check Point.
В Check Point подчеркнули, что Китай получил доступ к инструментам, разработанным Equation Group — специальным подразделением, отвечающим за наступательные кибероперации. Более того, есть доказательства использования этих инструментов группой APT3 задолго до их утечки, которую организовала группа Shadow Brokers.
Специалисты считают, что APT3 завладела и адаптировала под свои нужды инструмент, известный под именем EternalRomance. В исполнении китайских хакеров этот инструмент получил название Bemstour. Используя Bemstour, киберпреступники могли удаленно выполнять код на уровне ядра атакуемых компьютеров.
