Tropic Trooper: хакеры теперь сеют хаос на Ближнем Востоке

RutoR

Support81

Original poster
Administrator
Сообщения
1 020
Реакции
204
Посетить сайт
Эксперты Kaspersky выявили новую кампанию группировки.
tropic.jpg


Эксперты Kaspersky GReAT

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, что группа APT Tropic Trooper активизировала свои атаки в 2024 году, нацелившись на правительственные структуры на Ближнем Востоке. Tropic Trooper, также известная как KeyBoy и Pirate Panda, действует с 2011 года, и ранее её целями были государственные и высокотехнологичные организации в Тайване, Филиппинах и Гонконге. Однако новое расследование показало, что с июня 2023 года группа ведет упорные кампании против одного из государственных учреждений, занимающегося правами человека.

Первая активность была зафиксирована в июне 2024 года, когда системы безопасности обнаружили новые версии веб-оболочек China Chopper на публичном веб-сервере, который использовал систему управления контентом Umbraco на базе C#. Эта веб-оболочка активно используется киберпреступниками для удаленного управления серверами, и её нахождение на серверах государственных структур вызвало серьёзные опасения.

После выявления веб-оболочки специалисты обнаружили и другие вредоносные программы, связанные с этой атакой. Среди них — инструменты для пост-эксплуатации, предназначенные для сканирования сети, обхода мер безопасности и горизонтального перемещения по сети. Одной из ключевых находок стало выявление вредоносных загрузчиков, использующих уязвимости в порядках загрузки библиотек DLL (DLL search-order hijacking) для проникновения на компьютеры жертв. Эти загрузчики активировали более опасное программное обеспечение, названное Crowdoor.

Примечательно, что первая версия загрузчика Crowdoor была заблокирована, что вынудило хакеров адаптировать свои методы и перейти на использование новой версии, ранее неизвестной специалистам по кибербезопасности. Несмотря на это, эксперты с высокой долей уверенности атрибутировали данную атаку группе Tropic Trooper, основываясь на совпадении методов, инструментов и кода с ранее выявленными кампаниями этой группы.

Как разворачивалась атака​


Основной целью атаки стала система управления контентом Umbraco. Первоначальная вредоносная веб-оболочка, встроенная в один из модулей Umbraco, использовалась для выполнения команд, отправляемых через контроллер системы управления. Хакеры скомпилировали оболочку как модуль .NET для Umbraco CMS, что позволяло им скрытно передавать команды через систему управления контентом.

После успешного внедрения веб-оболочки злоумышленники начали загружать дополнительные вредоносные программы на скомпрометированный сервер. Среди них были инструменты для сетевого сканирования, такие как Fscan и Swor, а также открытые прокси-инструменты, предназначенные для обхода мер сетевой безопасности.

Хакеры использовали эксплойты для уязвимостей CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207 в Microsoft Exchange, а также CVE-2023-26360 в Adobe ColdFusion. Эти уязвимости оставались не устраненными на серверах, что дало злоумышленникам возможность проникнуть в системы и закрепиться там с помощью веб-оболочек.

Мотивы и методы атаки​


Tropic Trooper отличается широким использованием открытых инструментов, разработанных китайскими специалистами. Например, Fscan — утилита для сканирования уязвимостей, активно используется хакерами для сбора информации о внутренних сетях жертв, а также для выявления слабых мест в системах безопасности. В одном из скриптов, обнаруженных на скомпрометированном сервере, хакеры использовали команду ICMP для проверки доступности машин в сети.

Другой важный инструмент, Swor, широко применяется для проведения атак с использованием Mimicatz и других утилит, обеспечивающих удалённый доступ к системе. Эти инструменты уже применялись в атаках на государственные учреждения в Малайзии, что подтверждает общий вектор атак Tropic Trooper — проникновение в государственные структуры и кража данных.

Ещё одной особенностью работы группы стало использование зашифрованных веб-оболочек, скрытых от систем обнаружения благодаря шифровальщику ByPassGodzilla. Это программное обеспечение используется для обфускации вредоносного кода, что значительно усложняет его выявление.

Технические аспекты​


Одна из ключевых техник, применяемых Tropic Trooper, — это загрузка вредоносных DLL-файлов через уязвимые легитимные исполняемые файлы. В данном случае хакеры использовали два файла, datast.dll и VERSION.dll, которые подгружали вредоносный код в систему. Эти файлы были внедрены в легитимные процессы, такие как msiexec.exe, после чего происходила инъекция следующего этапа вредоносного кода.

Обнаружение этих DLL-файлов позволило связать атаку с деятельностью Tropic Trooper благодаря схожести методик и использованию одинакового RC4-ключа для шифрования данных. Этот ключ уже использовался в предыдущих атаках группы, что подтверждает их причастность к текущему инциденту.

Последствия и цели атак​


Наибольший интерес вызывает тот факт, что основным объектом атаки стал контент, связанный с исследованиями по правам человека, опубликованными на скомпрометированной платформе. Учитывая, что большая часть контента была посвящена конфликту между Израилем и ХАМАС, можно предположить, что основная цель атаки заключалась в доступе к информации по этой теме.

Эта новая стратегическая цель группы Tropic Trooper открывает дополнительные возможности для анализа их мотивации и целей. Сфокусированность на правительственных структурах, занимающихся правами человека, может свидетельствовать о желании хакеров получить доступ к данным, имеющим политическое значение на международной арене.

По мере расследования данного инцидента специалисты по кибербезопасности продолжают выявлять новые образцы вредоносных программ и обновления инструментов, применяемых хакерами. Это позволяет глубже понять методы работы Tropic Trooper и предсказать их дальнейшие шаги.
Подробнее:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

 
Название темы
Автор Заголовок Раздел Ответы Дата
Support81 $16 миллионов похищено через LinkedIn: как хакеры обманули Rain Новости в сети 0
Support81 Zero-Day атака в Windows: хакеры могут украсть пароль при простом просмотре файла Новости в сети 0
Support81 Rockstar 2FA: как хакеры обходят многофакторную защиту в два клика Новости в сети 0
Support81 SOS в Wirral: хакеры парализовали работу трёх жизненно важных больниц Новости в сети 0
Support81 10 дней на выкуп: хакеры выдвинули ультиматум мексиканскому правительству Новости в сети 0
Support81 Хакеры требуют $15 000 000: как 1win борется за сохранность данных 100 млн клиентов? Новости в сети 0
Support81 Загадочный трафик и ложные блокировки: зачем хакеры атакуют узлы Tor? Новости в сети 0
Support81 Защита рухнула: хакеры выявили лазейки в процессорах AMD и Intel Новости в сети 0
Support81 Хакеры усиливают натиск на высшие учебные заведения Новости в сети 0
Support81 Взломавшие Casio хакеры наконец вышли из тени Новости в сети 0
Support81 Star Health против Telegram: Хакеры, боты и миллионы украденных историй болезней Новости в сети 0
Support81 MoneyGram: хакеры заморозили сбережения 150 млн человек Новости в сети 0
Support81 Вирус по клику: хакеры взламывают Windows через CAPTCHA Новости в сети 0
Support81 Android.Vo1d: хакеры проникают в дома через ТВ-приставки Новости в сети 0
Support81 Неожиданный враг: Северокорейские хакеры проникают в Кремль Новости в сети 0
Support81 Шантаж и обвинения: белые хакеры борются с Kraken за $3 млн Новости в сети 0
Support81 Cyclops: Иранские хакеры готовят почву для масштабных кибератак Новости в сети 0
Support81 Tusk: русскоязычные хакеры охотятся за криптовалютой по всему миру Новости в сети 0
Support81 «Airbnb-хоппинг»: как разоблаченные хакеры уходят от погони Новости в сети 0
Support81 Роскошное авто или троян? Хакеры из APT28 играют на ваших желаниях Новости в сети 0
Support81 Неудаляемый скиммер: хакеры обнаружили ахиллесову пяту Magento Новости в сети 0
Support81 Кара за Сирию: хакеры парализуют критическую инфраструктуру Турции Новости в сети 0
Support81 CloudSorcerer: хакеры шпионят за российскими чиновниками через Microsoft Graph, Yandex Cloud и Dropbox Новости в сети 0
Support81 Snowblind: хакеры злоупотребляют «слепым пятном» в защитной системе Android Новости в сети 0
Support81 Shedding Zmiy - не просто хакеры: 2 года профессиональной охоты на российские секреты Новости в сети 0
Support81 Китайские хакеры прячутся в «слепой зоне»: ORB как новый уровень маскировки Новости в сети 0
Support81 Хакеры взломали ИИ: LLMjacking позволяет продавать доступ к мозгам машин Новости в сети 0
Support81 Хакеры вымогают полмиллиарда у крупнейшего землевладельца России Новости в сети 1
Support81 Ботнет в каждом доме: хакеры снова порабощают роутеры TP-Link для DDoS-атак Новости в сети 0
Support81 Румынские хакеры-невидимки уже 10 лет терроризируют европейские компании Новости в сети 0
Support81 Саратовский кинодел, ФСБ и хакеры: чем закончилась громкая история о торговле американскими картами Новости в сети 1
Support81 Фантомные хакеры с украинским следом: PhantomCore атакует Россию Новости в сети 1
Support81 Хакеры сами устраняют уязвимость BIG-IP: борьба за эксклюзивный доступ к зараженным системам Новости в сети 0
Support81 Хакеры переосмыслили PikaBot: вирус становится проще, но опаснее Новости в сети 0
Support81 Китайские хакеры атакуют НАТО: взломана сеть армии Нидерландов Новости в сети 0
Support81 Никакого фишинга: итальянские хакеры заражают местные организации весьма старомодным способом Новости в сети 0
Support81 Conti и Royal получили мощного союзника: хакеры 3AM вступают в игру, но кто они на самом деле? Новости в сети 0
Support81 Как хакеры взломали мир: 14 самых громких взломов 2023 года Новости в сети 1
Support81 NKAbuse: хакеры адаптировали децентрализованный протокол NKN для создания стелс-ботнета Новости в сети 0
Support81 Азиатские хакеры ведут ожесточенные кибератаки на российские системы Новости в сети 0
Support81 Хакеры превращают онлайн-казино в арену для украденных миллионов Новости в сети 0
Support81 Хакеры Kinsing активно эксплуатируют Looney Tunables для кражи учётных данных Новости в сети 0
Support81 Хакеры злоупотребляют Binance Smart Chain для хранения вредоносного кода Новости в сети 0
Support81 UNC4841 — настоящие спецагенты или просто хакеры высокого класса? Новости в сети 0
Support81 Хакеры используют сертификат VPN-провайдера для подписания малвари Новости в сети 0
Support81 Юные британские хакеры взломали десятки организаций по всему миру, как им это удалось? Новости в сети 0
Support81 Хакеры осваивают искусственный интеллект: новый FraudGPT идеально подходит для написания фишинговых писем Новости в сети 0
Support81 Шокирующая правда о Cl0p: эксперты выяснили, из какой страны работают хакеры Новости в сети 0
Support81 Хакеры больше не плачут: доходы от вымогательских атак в этом году резко возросли Новости в сети 1
Support81 Шпионаж обернулся утечкой: хакеры выложили в сеть данные тысяч пользователей LetMeSpy Новости в сети 0

Название темы

Русскоязычный Даркнет Форум