USD 66.75 ЕВРО 75.78

Группа кибершпионов воскрешает 12-летний бэкдор BIFROSE

Экономика

Группа работала с 2010 года, ее целями являлись организации, связанные с азиатскими правительствами
Группа хакеров таргетирована на компании из ключевых отраслей в Азии, и использует сильно модифицированную версию программы-бэкдора под названием BIFROSE, появление которой которой восходит к 2004 году.
 
Группа, которую исследователи из Trend Micro называют Shrouded Crossbow, была ориентирована на приватизированные государственные организации, правительственных подрядчиков и компании, занимающиеся бытовой электроникой, компьютерами, медициной, финансами и производством с 2010 года.
 
Деятельность группы являются свидетельством того, что участие в кибершпионаже не всегда требует огромных бюджетов, большого количества уязвимостей нулевого дня и новых вредоносных программ. Старые инструменты киберпреступности можно многократно использовать и улучшать для проведения эффективных атак.
 
Набор инструментов, используемый группой, включает в себя такие бэкдоры, как: Kivar и Xbow, созданные на основе BIFROSE, которые в прошлом продавались на черных рынках по цене около $10000.
 
«Мы думаем, что группа приобрела исходный код BIFROSE, и, после улучшения его функций, группа разработала новый способ его установки, включающий создание уникальных пар загрузчик-бэкдор, сделав более простыми и лаконичными возможности бэкдора», сказали исследователи Trend Micro в своем блоге.
 
Это позволило им оставаться эффективными в своей деятельности, несмотря на то, что BIFROSE был очень хорошо известной и понятной угрозой в антивирусной индустрии, которую также легко обнаружить.
 
Один интересный аспект, касающийся группы — она организована в виде, по меньшей мере, двух, но возможно, трех или более команд, по мнению исследователей Trend Micro. Одной из них является команда разработчиков, в которой, по меньшей мере, 10 человек, разрабатывающих новые версии бэкдора. Количество людей, участвующих в разработке, было определено по версиям строк, созданных с уникальными идентификаторами разработчика.
 
Вторая группа отвечает за выбор целей, настройку вредоносных параметров под каждую намеченную жертву и создание письма целевого фишинга, которое используются в качестве механизма доставки. Подобные письма содержат вредоносные вложения, и замаскированы под новости, резюме, правительственные данные или приглашения на собрания.
 
Третья команда может отвечать за поддержание обширной командно-контрольной инфраструктуры, которая включает в себя более 100 серверов, IP-адресов и доменов, которые обновляются в организованном порядке. Новые домены постоянно регистрируются, говорят исследователи из Trend Micro.