Хакерская группа ‘ModifiedElephant’ избегала обнаружения в течение десяти лет

DDoS-атака - Что делать?

В течение десяти лет субъект передовой постоянной угрозы (APT), отслеживаемый как ModifiedElephant, использовал тактику, которая позволяла ему действовать в условиях строжайшей секретности, не позволяя компаниям кибербезопасности обнаружить точки между атаками.

Эта конкретная группа хакеров использует легкодоступные трояны через spear-phishing и с 2012 года атакует правозащитников, защитников свободы слова, ученых и адвокатов в Индии.

Вредоносные электронные письма продвигают кейлоггеры и трояны удаленного доступа, такие как NetWire и DarkComet, и даже вредоносное ПО для Android.

Исследователи из SentinelLabs в своем сегодняшнем отчете подробно описывают тактику ModifiedElephant, объясняя, как недавно опубликованные доказательства помогли им атрибутировать ранее «бесхозные» атаки.

Самым надежным доказательством является совпадающая инфраструктура, наблюдаемая в нескольких кампаниях в период с 2013 по 2019 год, а также последовательность в используемом вредоносном ПО.

Прошлые кампании

ModifiedElephant использует фишинговые электронные письма с вредоносными вложениями уже более десяти лет, но за это время их методы развивались.

Ниже представлен обзор их прошлых операций с указанием некоторых вех эволюции:

  • 2013 — актер использует вложения электронной почты с фальшивыми двойными расширениями (file.pdf.exe) для удаления вредоносного ПО.
  • 2015 г. — группа переходит к защищенным паролем вложениям RAR, содержащим законные документы-приманки, которые перекрывают признаки выполнения вредоносного ПО.
  • 2019 — ModifiedElephant начинает размещать сайты с вредоносными программами и  злоупотребляет услугами облачного хостинга, переключаясь с поддельных документов на вредоносные ссылки.
  • 2020 г. — злоумышленники используют файлы RAR большого размера (300 МБ), чтобы избежать обнаружения, пропуская сканирование.

Во многих случаях в прикрепленных документах использовались известные эксплойты для выполнения вредоносных программ, включая CVE-2012-0158, CVE-2013-3906, CVE-2014-1761 и CVE-2015-1641.

Что касается приманок, использовавшихся в этих кампаниях, то все они были связаны с политикой и часто очень точно подгонялись под цель.

«Фишинговые электронные письма используют множество подходов, чтобы создать видимость легитимности», — объясняет SentinelLabs в отчете.

«Это включает в себя фальшивый контент тела с историей пересылки, содержащей длинные списки получателей, исходные списки получателей электронной почты со многими, казалось бы, поддельными учетными записями или просто повторную отправку вредоносного ПО несколько раз с использованием новых электронных писем или документов-приманок».

Инструментарий злоумышленника

За все время работы ModifiedElephant не было замечено использования каких-либо специальных бэкдоров, поэтому данная группа не выглядит очень сложной.

Основными вредоносными программами, развернутыми в рамках кампаний, являются NetWire и DarkComet, два общедоступных трояна для удаленного доступа, которые широко используются киберпреступниками более низкого уровня.

Кейлоггер Visual Basic, используемый ModifiedElephant, не менялся с 2012 года и все эти годы был в свободном доступе на хакерских форумах. SentinelLabs комментирует древность инструмента, подчеркивая, что он больше не работает даже на современных версиях ОС.

Вредоносное ПО для Android также является обычным трояном, доставляемым жертвам в виде APK, обманом заставляя их установить его самостоятельно, выдавая себя за новостное приложение или безопасный инструмент для обмена сообщениями.

Государственный деятель?

В отчете SentinelLabs делается несколько корреляций между временем конкретных атак ModifiedElephant и арестом целей, которые последовали вскоре после этого.

Это совпадение в сочетании с масштабом нацеливания, соответствующим интересам индийского государства, позволяет с большой долей вероятности предположить, что хакеров спонсируют круги официальной администрации Индии.

Активисты движения за свободу слова и ученые не преследуются из финансовых соображений, поэтому эти атаки всегда имеют под собой политическую подоплеку.

Последнее обновление 11.02.2022