Lookout обнаружила шпионское ПО для Android, развернутое в Казахстане News
02.11.2023
Cisco acquires Splunk, but how do you convince Splunk customers that Cisco has advantages
01.11.2023
CrowdStrike provides 100% coverage according to the MITRE Engenuity ATT&CK® Evaluations: round 5
31.10.2023
Top 20 Shocking Data Breach Statistics for 2023
06.09.2023
Adversaries Can “Log In with Microsoft” through the nOAuth Azure Active Directory Vulnerability
06.09.2023
iIT Distribution is the official distributor of LogRhythm!
31.08.2023
Instant replication with NAKIVO Backup & Replication v10.10 Beta
03.08.2023
Effective communication: Email vs. Instant Messaging?
25.07.2023
Infinidat Expands Support for Hybrid Cloud Storage Deployments with InfuzeOS Cloud Edition
14.07.2023
Falcon Insight for ChromeOS: The Industry’s First Native XDR Offering for ChromeOS
03.06.2023
Opening new horizons: iIT Distribution is the official distributor of Gatewatcher
13.05.2023
Another revolution in cybersecurity from CrowdStrike: top 5 important things to know about Managed XDR (MXDR)
09.05.2023
GTB Technologies is the best solution in the DLP industry
04.04.2023
CrowdStrike Falcon Platform Detects and Prevents Active Intrusion Campaign Targeting 3CXDesktopApp Customers
24.03.2023
Labyrinth Deception Platform v2.0.51: Release notes
23.03.2023
SIEM vs Log Management Systems: What you need to know before choosing
15.03.2023
CrowdStrike Falcon Named the Winner of the 2022 AV-TEST Award for Best MacOS Security Product
10.03.2023
CrowdStrike 2023 Global Threat Report: Resilient Businesses Fight Relentless Adversaries
10.03.2023
Threema Work App Update: Encrypted Group Calls Are Now Available on Android Devices
28.02.2023
CrowdStrike Ranked #1 in the IDC Worldwide Endpoint Security Market Shares Report for Third Time in a Row
21.02.2023
Picus Red Report 2023: The Top 10 Most Prevalent MITRE ATT&CK Techniques Used by Attackers
14.02.2023
On leadership in the sphere of high-end unified storage: An exclusive interview with Phil Bullinger, CEO of Infinidat
11.02.2023
Securing PostgreSQL from Cryptojacking Campaigns in Kubernetes
30.01.2023
What's New in NAKIVO Backup & Replication v10.8: Release Overview
16.01.2023
Success Story: Georgian Bank Achieves 100% Backup Success Rate with NAKIVO
12.01.2023
CrowdStrike Named a Leader in Frost & Sullivan’s 2022 Frost Radar for Cyber Threat Intelligence
12.12.2022
DDoS Attack Prevention and DDoS Protection Best Practices
21.11.2022
How Hackers Can Bypass Multi-Factor Authentication
08.11.2022
CrowdStrike Achieves Red Hat OpenShift Certification: Streamlining Visibility and Automating Protection for OpenShift
03.11.2022
Infinidat Recognized as a Leader in Gartner Magic Quadrant for Primary Storage – 5th Year in a Row
19.10.2022
New version of NetBrain Release 11: the key to reducing the cost of NetOps
13.10.2022
With security revenue surging, CrowdStrike wants to be a broader enterprise IT player
05.10.2022
CrowdStrike Announced the Acquisition of Reposify to Bolster Visibility and Reduce Risk Exposure of External Assets
22.09.2022
Kubernetes против Docker: в чем между ними разница?
16.09.2022
Infinidat расширяет функции NVMe/TCP для сред VMware
15.09.2022
Новые возможности InfiniBox от Infinidat: vVols репликация для VMware сред
02.09.2022
Индикаторы атак на основе искусственного интеллекта позволяют максимально быстро прогнозировать и останавливать угрозы
03.08.2022
Истории с Dark Web: Отслеживание подпольной экономики eCrime улучшает эффективность киберзащиты
22.07.2022
Развитие ботнетов и DDoS-атак
15.07.2022
Lookout обнаружила шпионское ПО для Android, развернутое в Казахстане
11.07.2022
Выявление и смягчение атак NTLM-ретрансляции, нацеленных на контроллеры домена Microsoft
20.06.2022
Что такое демократизация данных?
07.06.2022
Неизменные резервные копии: что вам нужно знать, чтобы защитить свои данные
22.05.2022
Украинские Киберактивисты Использовали Скомпрометированные Docker Honeypots Для Антироссийских Dos-Атак
06.05.2022
ЧТО НОВОГО В LABYRINTH DECEPTION PLATFORM: РЕЛИЗ 2.0.32
22.04.2022
PALO ALTO NETWORKS проинформировала об уязвимостях, которые могут разрешить злоумышленникам отключить платформу CORTEX XDR
15.04.2022
INSPUR ВТОРОЙ ГОД ПОДРЯД СТАНОВИТСЯ ОБРАЗЦОВЫМ ПОСТАВЩИКОМ CLOUD-OPTIMIZED ОБОРУДОВАНИЯ ПО ВЕРСИИ GARTNER HYPE CYCLE
08.10.2020
Intelligent IT Distribution взяла участь у Третьому щорічному Міжнародному Форумі «Кібербезпека - Захистимо Бізнес, Захистимо Держава»
29.09.2020
iITD - партнер форуму “Кібербезпека - захистимо бізнес, захистимо державу” 2020
24.09.2020
Компанія IIT Distribution отримала статус дистриб’ютора рішень NetBrain Technologies на території України
28.08.2020
Fal.Con 2020 від CrowdStrike
25.08.2020
Дотримання норм страхування кіберризиків
25.08.2020
Автоматично блокуйте скомпрометовані облікові записи з Lepide Active Directory Self Service 20.1
25.08.2020
Компанія Cossack Labs запрошує відвідати NoNameCon
22.07.2020
Підписання дистриб’юторської угоди з компанією Safe-T
21.07.2020
Міжнародна конференція: "Online Banking - Час інновацій!"
18.06.2020
Глобальний звіт про кіберзагрози 2020
11.06.2020
Четвер, 25 червня 2020 року. Не пропустіть!
05.05.2020
Анонс: нова версія Acra Enterprise забезпечує підвищену гнучкість для високонавантажених систем
13.04.2020
Lepide Remote Worker Monitoring Pack - легка платформа безпеки, яка гарантує негайний захист даних бізнесу протягом непередбаченого періоду віддаленої роботи.
12.04.2020
Забезпечення кібербезпеки для віддалених користувачів
08.04.2020
Labyrinth Technologies пропонує скористатися спеціальною пропозицією - ліцензія на 12 місяців за ціною 6 місяців.
07.04.2020
«CrowdStrike: дистанційна робота та ІТ-безпеку за часів кризи - скорочена ліцензійна програма на 3-6 місяців».
23.03.2020
Компанія iIT Distribution отримала статус дистриб’ютора рішень RedSeal Networks на території України.
23.03.2020
Компанія iIT Distribution отримала статус дистриб’ютора рішень Lepide на території України.
16.03.2020
Компанія iIT Distribution починає дистрибуцію рішень CrowdStrike на території України.
19.02.2020
20 лютого у Києві відбудеться щорічна конференція CISO DX DAY 2020
18.02.2020
Компанія iIT Distribution отримала статус дистриб’ютора рішень Instana на території України.
17.02.2020
Exabeam Security Intelligence Platform допомагає
Исследователи Lookout Threat Lab обнаружили программы слежения корпоративного уровня для Android, используемые правительством Казахстана. Хотя угроза уже давно знакома и отслеживается с помощью Lookout Endpoint Detection and Response (EDR), в апреле 2022 года, были обнаружены новые образцы этого ПО.
Согласно результатам анализа, шпионское ПО с названием "Hermit", скорее всего, разработано итальянским поставщиком такого рода программ RCS Lab S.p.A. и Tykelab Srl – компанией по разработке телекоммуникационных решений, которая, скорее всего, является подставной.
Это не первый случай применения Hermit. Мы знаем, что итальянские власти использовали его в антикоррупционной операции в 2019 году. Мы также обнаружили доказательства того, что неизвестный агент использовал его в северо-восточной Сирии, преимущественно курдском регионе, где происходят многочисленные региональные конфликты.
RCS Lab, известный разработчик, действующий уже более трех десятилетий, работает на том же рынке, что и разработчик Pegasus - NSO Group Technologies и Gamma Group, создавшая FinFisher. Объединенные под брендом компаний, занимающихся "законным перехватом", они утверждают, что продают свои продукты только клиентам, которые могут законно использовать программное обеспечение для наблюдения, например, спецслужбам и правоохранительным органам. В действительности такие инструменты часто используются под прикрытием национальной безопасности для шпионажа за руководителями предприятий, правозащитниками, журналистами, учеными и чиновниками.
Что такое Hermit?
Названный в честь отдельного пути к серверу, который используется Command and Сontrol (C2) инфраструктурой злоумышленника, Hermit — это модульная программа наблюдения, которая скрывает свои вредоносные возможности в пакетах, загружаемых после ее развертывания.
В ходе исследования было проанализировано 16 из 25 известных модулей, каждый из которых обладает уникальными возможностями. Эти модули, вместе с разрешениями, которыми обладают основные приложения, позволяют Hermit использовать корневое устройство: записывать аудио, совершать и перенаправлять телефонные звонки, а также собирать такие данные, как журналы вызовов, контакты, фотографии, местоположение устройства и SMS-сообщения.
Предполагается, что шпионское ПО распространяется через SMS-сообщения, исходящих от якобы надежного источника. Проанализированные образцы вредоносного ПО выдавали себя за приложения телекоммуникационных компаний или производителей смартфонов. Hermit обманывает пользователей, открывая официальные веб-страницы брендов, за которые он себя выдает, в то время как вредоносная деятельность запускается в фоновом режиме.
Существует версия Hermit и для iOS устройств, но пока нет возможности проанализировать ее.
Развертывание в Казахстане
Анализ показывает, что Hermit не только был развернут в Казахстане, но и что за этой кампанией, вероятно, стоит один из представителей правительства страны. Насколько известно, это первый случай, когда был выявлен заказчик мобильного вредоносного ПО, разработанного RCS Lab.
Впервые образцы из этой кампании были обнаружены в апреле 2022 года. Они назывались "oppo.service" и выдавали себя за китайского производителя электроники Oppo. Веб-сайт, который программа использовала для маскировки своей вредоносной активности, — это официальная страница поддержки Oppo (http://oppo-kz.custhelp[.]com), которая с тех пор не работает. Также были обнаружены образцы, выдающие себя за Samsung и Vivo.
Страница поддержки Oppo загружается и отображается для пользователей, в то время как вредоносные действия происходят в фоновом режиме.
Образцы, использованные в казахстанской целевой кампании, подключались к С2-адресу 45.148.30[.]122:58442. Однако дальнейший анализ сервера C2 шпионской программы показал, что этот IP-адрес используется в качестве прокси для реального сервера C2 по адресу 85.159.27[.]61:8442. Реальный IP-адрес C2 администрируемый STS Telecom, небольшим интернет-провайдером (ISP), работающим из Нур-Султана, столицы Казахстана. Судя по скудным онлайн-записям, STS специализируется на "других проводных телекоммуникациях" и кабельных услугах.
Взаимодействие с плохо настроенным сервером C2 выявило истинный IP-адрес C2.
Сирия, Италия и другие мишени
До выявления образцов из Казахстана в пассивных DNS-записях Hermit было обнаружено упоминание "Рожавы", курдоязычного региона на северо-востоке Сирии. Это важно, поскольку регион является местом постоянных кризисов, таких как гражданская война в Сирии и конфликты между Исламским государством (ИГ) и коалицией во главе с США, поддерживающей возглавляемые курдами Сирийские демократические силы (SDF). Совсем недавно Турция провела ряд военных операций против SDF, которые привели к частичной оккупации региона.
Обнаруженный домен (rojavanetwork[.]info) имитирует "Сеть Рожавы", социальный бренд в Facebook и Twitter, который освещает новости и проводит политический анализ региона, часто в поддержку операций SDF.
Домен rojavanetwork[.]info, по-видимому, специально имитирует «Rojava Network», бренд социальных сетей в Facebook и Twitter, который освещает новости и политический анализ региона, часто в поддержку операций SDF.
За пределами Сирии Hermit был развернут в Италии. Согласно документу, опубликованному нижней палатой парламента Италии в 2021 году, итальянские власти использовали его в антикоррупционной операции. В документе упоминается версия Hermit для iOS.
Технический анализ: расширенные возможности Hermit
Hermit — это высоко конфигурируемая программа наблюдения с корпоративными возможностями по сбору и передаче данных.
Например, она использует 20 с лишним параметров, что позволяет любому оператору настроить ее под свою кампанию. Шпионская программа также пытается сохранить целостность данных собранных "улик", отправляя код аутентификации сообщений на основе хэша (HMAC). Это позволяет определить, кто отправил данные, а также убедиться, что они не изменились. Использование этого метода для передачи данных может обеспечить доступ к собранным доказательствам.
Чтобы скрыть свои истинные намерения, Hermit построен по модульному принципу. Это означает, что вредоносная функциональность скрыта в дополнительных полезных нагрузках, которые программа загружает по мере необходимости.
Как он обманывает жертв и избегает обнаружения
Как уже упоминалось, Hermit притворяется, что исходит от настоящих организаций, а именно телекоммуникационных компаний или производителей смартфонов. Чтобы сохранить этот фасад, программа загружает и отображает веб-сайт компании, за которую себя выдает, одновременно с началом вредоносной деятельности в фоновом режиме.
Первый вредоносный шаг - расшифровка встроенного конфигурационного файла со свойствами, которые используются для связи с сервером C2. Но, прежде чем связь произойдет, Hermit выполняет ряд проверок, чтобы убедиться, что его не анализируют. Это включает поиск наличия специального эмулятора и признаков того, что само приложение было модифицировано для облегчения анализа.
Модули и сбор данных
Как только вредоносная программа соединяется с C2, она получает инструкции по загрузке модулей, каждый из которых обладает определенными возможностями. Помимо модулей, разрешения, которые запрашивает программа, позволяют определить различные способы сбора данных.
Hermit может быть запрошен C2 для загрузки модулей с любого URL и последующей динамической загрузки.
В общей сложности было получено 16 модулей путем взаимодействия с IP-адресом (45.148.30[.]122:58442) "oppo.service", используемым для связи C2. Судя по идентификационным номерам, присвоенным модулям в коде Hermit, существует как минимум 25 модулей.
Внутри основного приложения мы обнаружили абстрактный класс под названием "module", который давал дополнительные подсказки о том, на что способны остальные модули. Код содержал ссылки на использование эксплойтов, что было подтверждено подсказками, найденными в полученных модулях. Хотя нам не предоставляли эксплойты во время тестирования, мы можем сказать, что эксплуатируемое устройство будет иметь локальную корневую службу, прослушивающую 127.0.0.1:500, которую вредоносная программа будет "пинговать".
Некоторые переменные намекают, что Hermit имеет модули, которые могут использовать эксплойты.
Если подтверждается, что устройство пригодно для эксплуатации, то она связывается с C2 для получения файлов, необходимых для эксплуатации устройства, и запускает свою корневую службу. Затем эта служба будет использоваться для включения повышенных привилегий устройства, таких как доступ к службам поддержки, содержимому уведомлений, состоянию использования пакетов и возможности игнорировать оптимизацию батареи.
Помимо службы root, некоторые модули ожидают или пытаются использовать доступ root напрямую через двоичный файл su. Эти модули попытаются изменить общие предпочтения приложения SuperSU, чтобы обеспечить выполнение команд root без участия пользователя.
Хотя это может быть обычной попыткой использования root без ведома пользователя, SuperSU также может быть частью неизвестного процесса эксплуатации. Если root недоступен, модули могут побудить пользователя выполнить действия, которые приведут к достижению тех же целей.
Вот модули, которые удалось получить (полное описание каждого модуля приведено в приложении):
· Accessibility Event · Audio · Camera · File download · Notification Listener | · Account · Browser · Clipboard · File upload · Screen Capture | · Address Book · Calendar · Device Info · Log · Telegram |
Как и другим оружием, шпионскими программами можно легко злоупотреблять
Поставщики так называемого "законного перехвата" шпионского ПО, такие, как RCS Lab, NSO Group и Gamma Group, обычно утверждают, что продают его только тем организациям, у которых есть законное право использовать программы наблюдения, например, полицейским структурам, борющимся с организованной преступностью или терроризмом. Однако, особенно в последние годы, поступает много сообщений о том, что шпионские программы используются не по назначению.
Hermit был развернут в Казахстане и Сирии – странах с плохими показателями в соблюдении прав человека. Даже в случае антикоррупционных операций в Италии, как утверждается, имело место неправомерное использование личных и частных данных.
В некотором смысле средства электронного наблюдения не сильно отличаются от любого другого вида оружия. Только в этом месяце, столкнувшись с финансовым давлением, генеральный директор группы NSO Шалев Хулио открыл продажу "рискованным" клиентам. Производители шпионских программ действуют в условиях секретности и ограниченного контроля, и законность использования их продуктов редко бывает столь однозначной, как они заявляют.
Как защитить себя от шпионских программ типа Hermit
Благодаря современным возможностям сбора данных и тому факту, что мы постоянно носим их с собой, мобильные устройства являются идеальной мишенью для слежки. Хотя не все мы станем жертвами сложных шпионских программ, вот несколько советов, как обезопасить себя и свою организацию:
- Обновляйте телефон и приложения: операционные системы и приложения часто имеют уязвимости, которые необходимо устранять. Обновите их, чтобы убедиться, что уязвимости устранены.
- Не нажимайте на неизвестные ссылки: один из самых распространенных способов доставки злоумышленниками вредоносного ПО - отправка сообщения, выдающего себя за законный источник. Не нажимайте на ссылки, особенно если вы не знаете их источник.
- Не устанавливайте неизвестные приложения: соблюдайте осторожность при установке неизвестных приложений, даже если источник приложения кажется легальным.
- Периодически проверяйте свои приложения: иногда вредоносные программы могут изменять настройки или устанавливать на телефон дополнительный контент. Периодически проверяйте свой телефон, чтобы убедиться, что ничего неизвестного не было добавлено.
- В дополнение к соблюдению описанных выше правил безопасности мы настоятельно рекомендуем использовать специальное решение для обеспечения безопасности мобильных устройств, чтобы исключить возможность заражения вашего устройства вредоносными программами или фишинговыми атаками.
Насколько нам известно, приложения, описанные в этой статье, никогда не распространялись через Google Play.
Индикаторы компрометации
Основные индикаторы App
SHA1 |
ca101ddfcf6746ffa171dc3a0545ebd017bf689a |
b1dfb2be760d209846f2147ce32560954d2f71b5 |
cf610aae906ffcfd52c08d6ba03d9ce2c9996ac8 |
22f49fa7fe1506d2639f08e9ae198e262396c052 |
97ead8dec0bf601ba452b9e45bb33cb4a3bf830f |
527141e1ee5d76b55b7c7640f7dcf222cb93e010 |
4f8145805eec0c4d8fc32b020744d4f3f1e39ccb |
9f949b095c2ab4b305b2ea168ae376adbba72ffb |
Индикаторы сети
IP адрес | Порт |
2.229.68[.]182 | 8442 |
2.228.150[.]86 | 8443 |
93.57.84[.]78 | 8443 |
93.39.197[.]234 | 8443 |
45.148.30[.]122 | 58442 |
85.159.27[.]61 | 8442 |
Образцы доменов, используемых в таргетированных действиях Hermit
· 119-tim[.]info · 133-tre[.]info · 146-fastweb[.]info · 155-wind[.]info · 159-windtre[.]info · iliad[.]info · amex-co[.]info · cloud-apple[.]info · fb-techsupport[.]com | · milf[.]house · mobdemo[.]info · mobilepays[.]info · kena-mobile[.]info · poste-it[.]info · rojavanetwork[.]info · store-apple[.]info · wind-h3g[.]info |
Конфигурации параметров, которые использует Hermit
Параметр | Конфигурация |
vps | Отпечаток сертификата, IP-адрес и порт для связи C2 |
p1,p3,p4,p5,p6 | Серверные конечные точки для различных соединений C2 |
redirectUrl | Это безопасный URL-адрес, открываемый при запуске приложения |
hidden | Определяет, будет ли иконка приложения скрыта. |
vpsseed | Строка, используемая вместе с android_id в качестве уникального идентификатора устройства |
certificateSignature | Предполагаемая подпись приложения. Если подпись не совпадает, приложение не будет запущено. |
wdpn | Имя пакета другого приложения, с которым взаимодействовали на устройстве |
wdcn | Имя компонента службы, содержащегося в приложении wdpn |
xAuthToken | HTTP-заголовок, добавляемый к каждому запросу для аутентификации |
psk | Предварительно созданный ключ, используемый для аутентификации сообщений |
deleteApk | Boolean, указывающий, следует ли удалять APK-файлы, если проверки на анти эмуляции провалились |
fp | Отпечаток пальца для настройки шифрования protobuf |
pk | Открытый ключ для настройки шифрования protobuf |
applicationId, gcmSenderId projectId, storageBucket apiKey | Параметры настройки службы Firebase Messaging Service |
Модули, загружаемые Hermit
Название модуля | Функция | Примечание |
Accessibility Event | Отслеживайте приложения в фоновом режиме. | |
Account | Кража сохраненных e-mail аккаунтов. | |
Address Book | Кража контактов. | |
Audio | Запись аудио. | |
Browser | Кража закладок браузера/истории поиска. | |
Calendar | Кража записей в календаре, участников. | |
Camera | Делает снимки. | |
Clipboard | Кража существующего и будущего содержимого буфера обмена. | |
Device Info | Извлечение информации об устройстве, включая: · приложения · информация о ядре · Модель · Производитель · версия ОС · номер телефона · патч безопасности
| |
File Download | Загрузка и установка файлов APK на устройство. | Использует root для скрытой установки приложений. |
File Upload | Выгрузка файлов с устройства. | Использует root для копирования файлов, к которым у приложения нет доступа. |
Log | Включение/выключение логирования. | |
Notification Listener | Эксфильтрация содержимого уведомлений. Удаление/приостановка уведомлений, которые ссылаются на приложение Hermit, но не исходят от него. | |
Screen Capture | Делает снимки экрана. | Использует root для запуска 'screencap' |
Telegram | Предлагает пользователю переустановить Telegram на устройстве с помощью загруженного APK. | Использует root для скрытого удаления/переустановки Telegram. Также копирует данные старого приложения в папку нового приложения, изменив значения контекстов SELinux и владельцев файлов |
Предлагает пользователю переустановить WhatsApp через Play Store. |
Пользователи Lookout защищены от этих угроз. Ведь платформа Lookout разработана с учетом постоянно меняющихся требований к безопасности мобильных устройств, а график безопасности Lookout использует искусственный интеллект для защиты от известных и неизвестных угроз. Компания iIT Distribution обеспечивает комплексную поддержку по внедрению эффективных решений для киберзащиты, чтобы вы и ваши данные оставались в безопасности.
Back