Группировка Ke3chang использует бэкдор Okrum для атак на дипломатов

Бэкдор использовался в 2017 году против дипломатических миссий в Словакии, Бельгии, Чили, Гватемале и Бразилии.

Исследователи из компании ESET опубликовали отчет, посвященный деятельности киберпреступной группировки Ke3chang (она же Vixen Panda, Royal APT, Playful Dragon и APT15). Группировка известна кампаниями по кибершпионажу против организаций в нефтедобывающей и военной сфере, правительственных подрядчиков и дипломатических представительств и организаций. По данным специалистов, первая активность преступников датируется по меньшей мере 2010 годом. Впервые бэкдор Okrum был обнаружен в декабре 2016 года в атаках на организации в Словакии. Наряду с Okrum группировка использовала бэкдоры BS2005 и Ketrican, а также вредоносные программы RoyalDNS.

Okrum представляет собой динамическую библиотеку, для загрузки и установки которой используются два компонента первого этапа. Данные компоненты постоянно дорабатываются злоумышленниками в целях избежать обнаружения.

Okrum поддерживает только базовые команды для скачивания и загрузки данных, выполнения двоичных файлов или запуска shell-команд. Бэкдор также может обновляться до более свежей версии и регулировать время, в течение которого он спит после каждой команды. Имплант Okrum получает права администратора с помощью API ImpersonateLoggedOnUser и собирает такие данные, как имя компьютера, имя пользователя, IP-адрес хоста, значение основного DNS-суффикса, версия ОС, номер сборки и архитектура.

В основном для достижения своих целей злоумышленники вводят команды вручную или могут использовать различные инструменты и программное обеспечение, например, программы для извлечения паролей или кейлоггеры. В частности, в атаках с использованием бэкдора Ketrican в 2017 году злоумышленники применили утилиты NetSess, NetE, ProcDump, PsExec и Get-PassHashes.