Содержание
Цели:
- Шпионаж
Общее описание
Впервые активность группы Calypso была выявлена специалистами PT Expert Security Center в марте 2019 года, в ходе работ по обнаружению киберугроз. Группа активна как минимум с сентября 2016 года. Основной целью группы является кража конфиденциальных данных, основные жертвы — государственные учреждения Бразилии, Индии, Казахстана, России, Таиланда, Турции.
Инструменты
- Calypso RAT
- Hussar
- FlyingDutchman
Атакуемые отрасли
- Государственные структуры
Атакуемые страны
- Бразилия
- Индия
- Казахстан
- Россия
- Таиланд
- Турция
Альтернативные названия группы
- Отсутствуют
Отчеты Positive Technologies и других исследователей
- https://www.ptsecurity.com/ru-ru/research/analytics/calypso-apt-2019/
- https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-cloud-snooper-report.pdf
Тактики из MITRE ATT&CK, использованные группой
| ID | Название | Описание |
|---|---|---|
| Execution | ||
| T1059.003 | Command and Scripting Interpreter: Windows Command Shell | Группа Calypso использует cmd.exe для исполнения команд в системе |
| Persistence | ||
| T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder | BAT-скрипт Install в составе ВПО группы Calypso позволяет закрепиться в системе через ключ автозагрузки реестра системы: HKCU\Software\Microsoft\Windows\CurrentVersion\Run key |
| T1053.005 | Scheduled Task/Job: Scheduled Task | Группа Calypso создает задачу в планировщике системы для дампа процесса lsass.exe через procdump.exe: c:\windows\system32\procdump.exe -accepteula -ma lsass.exe c:\windows\web\lsass.dmp |
| Defense Evasion | ||
| T1027 | Obfuscated Files or Information | Основной пейлоад группы Calypso обфусцирован с помощью алгоритма, использующего CRC32 как PRNG |
| T1218.011 | Signed Binary Proxy Execution: Rundll32 | Группа Calypso запускает RAT через rundll32.exe |
| T1564.001 | Hide Artifacts: Hidden Files and Directories | Для хранения ВПО группа Calypso использует скрытые папки |
| Credential Access | ||
| T1003 | Credential Dumping | Группа Calypso использует Mimikatz и ProcDump для сбора паролей |
| T1558.001 | Steal or Forge Kerberos Tickets: Golden Ticket | Группа Calypso с помощью Mimikatz генерирует golden ticket |
| Discovery | ||
| T1087.001 | Account Discovery: Local Account | Группа Calypso использует команду Net user для обнаружения пользователей |
| T1046 | Network Service Scanning | Группа Calypso использует утилиту TCP Port scanner для сканирования портов узлов внутри сети |
| T1135 | Network Share Discovery | Группа Calypso использует утилиту NBTScan для обнаружения общих папок внутри сети |
| T1082 | System Information Discovery | Группа Calypso собирает информацию о компьютере жертвы |
| Lateral Movement | ||
| T1550.003 | Use Alternate Authentication Material: Pass the Ticket | Группа Calypso использует Kerberos ticket для продвижения внутри сети |
| Collection | ||
| T1114.001 | Email Collection: Local Email Collection | Группа Calypso собирает почтовые ящики сотрудников компании через почтовый сервер |
| T1113 | Screen Capture | FlyingDutchman — RAT группы Calypso — может делать снимки экрана зараженной машины |
| T1005 | Data from Local System | Группа Calypso собирает данные из пользовательских папок |
| Command And Control | ||
| T1024 | Encrypted Channel: Symmetric Cryptography | Группа Calypso шифрует данные, передаваемые на сервер, с помощью XOR и RC4 |
