Blog

Bekdor ispolzovalsya v 2017 godu protiv diplomaticheskix mission in Slovakiya, Belgiya, Chili, Gvatemale va Braziliyaii.

ESET opublikovali hisoboti, Ke3chang (Vixen Panda, Royal APT, Playful Dragon va APT15). Gruppirovka izvestna kampaniyami po kibershpionju protiv organizatsiy v neftedobyvayushchey i voennoy sfere, pravitelstvennyx podryadchikov va diplomaticheskix predstavitelstv va organizatsiy. Po dannym spetsialistov, pervaya aktivnost prestupnikov datiruetsya po menshey mere 2010 yil. Vpervye bekdor Okrum byl obnarujen v dekabre 2016 goda v atakah na organizatsii v Slovakiya. BS2005 va Ketrican, shuningdek, RoyalDNS dasturlari uchun Okrum guruhini ishlatish mumkin.

Okrum predstavlyaet soboy dinamicheskuyu biblioteku, uchun zagruzki va o’rnatish kotoroy ishlatiladi ikki komponenta pervogo etap. Dannye komponenty postoyanno dorobatyvayutsya zloumyshlennikami v tselyax izbejat obnarujeniya.

Okrum podderjivaet tolko bazovye komand uchun skachivaniya va zagruzki dannyx, vypolneniya dvoichnyx faylov yoki zapuska shell-komand. Bekdor ham obnovlyatsya do bolee svejey versii va regulirovat vremya, v technie kotorogo on spit posle kajdoy komandi. Implant Okrum poluchaet prava administratora s pomoshchyu API ImpersonateLoggedOnUser va shunga o’xshash dannye, qanday kompyuter, imya polzovatelya, IP-adres hosta, snachenie osnovnogo DNS-suffiksa, OS versiyasi, nomer sborki va arxitektura.

V osnovnom dlya dostijeniya tseley zloumyshlenniki vvodyat komandi vruchnuyu yoki mumkin foydalanish mumkin turli asboblar va dasturlarni obespechenie, masalan, dasturlar izvlecheniya paroley yoki keyloggery uchun. Ketrican 2017 yilda NetSess, NetE, ProcDump, PsExec va Get-PassHashes dasturlarini o’z ichiga oladi.