SecAtor

Исследователи Solar сообщают о новой вредоносной кампании китайской APT Erudite Mogwai, которая с 2017 года нацелена на Россию.

В ноябре 2024 года Соларам в ходе анализа атак на российские ИТ-организации из числа господрядчиков удалось задетектить утилиту, которая обладала функциональностью прокси-инструмента.

При расследовании инцидента, следы атаки привели к непокрытому мониторингом сегменту сети заказчика, в котором были обнаружены образцы Stowaway и ShadowPad Light.

Атака на незащищенный сегмент сети началась не позднее марта 2023 года с публично доступных веб-сервисов, а в ноябре 2024 года атакующие попытались развить ее и захватить новые сегменты сети, но были к тому времени уже обнаружены.

В процессе анализа стало понятно, что замеченный Stowaway - кастомизированная версия общедоступного многоуровневого прокси-инструмента от китайских разработчиков, написанного на Go и предназначенного для пентестеров.

Интересной особенностью упомянутых семплов является то, что по сравнению с оригинальной утилитой, часть функциональности из них удалена, а оставшаяся - модифицирована.

Злоумышленники адаптировали Stowaway для своих целей, фактически создав свой собственный форк утилиты.

Утилита Stowaway используется в качестве средства проксирования трафика.

В целях обфускации с каждой итерацией изменяется структура протокола, добавляются новые возможности.

Последняя известная на данный момент версия использует LZ4 в качестве алгоритма сжатия, шифрование с помощью XXTEA.

Также злоумышленниками добавлена поддержка протокола QUIC.

В сочетании с другими инструментами, включая ShadowPad Light aka Deed RAT, эта утилита задействуется APT, которую Солары называют Erudite Mogwai, а Позитивы - Space Pirates.

Как отмечают исследователи, наименование Erudite Mogway - неслучайно.

В их модификациях утилиты Stowaway можно встретить отсылки к известным литературным произведениям, а также историческим событиям.

Ранее семейство этого вредоносного ПО упоминалось в отчете ПТ, где приводились хэши пяти известных образцов Stowaway.

С тех пор Соларам удалось выявить еще четыре новых экземпляра.

Характерные черты группировки и подробный технический анализ линейки всех версий Stowaway - в отчете.

rt-solar.ru

Erudite Mogwai использует кастомный Stowaway для скрытного продвижения в сети

Узнайте, как группировка Erudite Mogwai адаптирует утилиту Stowaway для скрытного продвижения в сетях. Статья описывает модификации инструмента и его использование в кибератаках на российские ИТ-организации. Подробности об эволюции версий и методах злоумышленников

www.group-telegram.com/ca/true_secator.com/6783

7.9K viewsFeb 26 at 17:14

Исследователи Solar сообщают о новой вредоносной кампании китайской APT Erudite Mogwai, которая с 2017 года нацелена на Россию.

В ноябре 2024 года Соларам в ходе анализа атак на российские ИТ-организации из числа господрядчиков удалось задетектить утилиту, которая обладала функциональностью прокси-инструмента.

При расследовании инцидента, следы атаки привели к непокрытому мониторингом сегменту сети заказчика, в котором были обнаружены образцы Stowaway и ShadowPad Light.

Атака на незащищенный сегмент сети началась не позднее марта 2023 года с публично доступных веб-сервисов, а в ноябре 2024 года атакующие попытались развить ее и захватить новые сегменты сети, но были к тому времени уже обнаружены.

В процессе анализа стало понятно, что замеченный Stowaway - кастомизированная версия общедоступного многоуровневого прокси-инструмента от китайских разработчиков, написанного на Go и предназначенного для пентестеров.

Интересной особенностью упомянутых семплов является то, что по сравнению с оригинальной утилитой, часть функциональности из них удалена, а оставшаяся - модифицирована.

Злоумышленники адаптировали Stowaway для своих целей, фактически создав свой собственный форк утилиты.

Утилита Stowaway используется в качестве средства проксирования трафика.

В целях обфускации с каждой итерацией изменяется структура протокола, добавляются новые возможности.

Последняя известная на данный момент версия использует LZ4 в качестве алгоритма сжатия, шифрование с помощью XXTEA.

Также злоумышленниками добавлена поддержка протокола QUIC.

В сочетании с другими инструментами, включая ShadowPad Light aka Deed RAT, эта утилита задействуется APT, которую Солары называют Erudite Mogwai, а Позитивы - Space Pirates.

Как отмечают исследователи, наименование Erudite Mogway - неслучайно.

В их модификациях утилиты Stowaway можно встретить отсылки к известным литературным произведениям, а также историческим событиям.

Ранее семейство этого вредоносного ПО упоминалось в отчете ПТ, где приводились хэши пяти известных образцов Stowaway.

С тех пор Соларам удалось выявить еще четыре новых экземпляра.

Характерные черты группировки и подробный технический анализ линейки всех версий Stowaway - в отчете.

BY SecAtor