ИБ-эксперты обнаружили APT-группировку, которая применяла эксплойты Equation Group за год до их обнародования в апреле 2017-го. В своих кампаниях преступники из Китая использовали комплекс из двух 0-day, чтобы установить контроль над компьютерами пользователей и украсть персональные данные.

По словам исследователей, за этими инцидентами стоит группировка Buckeye, также известная как Gothic Panda, TG-0110, UPS и APT3. Первые атаки злоумышленников засекли еще в 2010 году. За ними последовало длительное расследование, которое завершилось в ноябре 2017-го арестами трех участников группировки. Им предъявили обвинение во взломе компьютерных систем Moody’s Analytics, Siemens и Trimble. С того момента Buckeye приостановила активность, но эксперты все еще изучают ее прошлые кампании.

Так, специалисты определили, что преступники имели доступ к материалам Equation Group за месяцы до их попадания в открытый доступ.

В частности, CVE-2017-0143 (EternalRomance и EternalSynergy) встречается в кампаниях Buckeye, начиная с марта 2016-го. Взломщики использовали этот эксплойт в составе пакета Bemstour Exploit Tool вместе с лишь недавно обнаруженным CVE-2019-0703. В качестве полезной нагрузки в этих кампаниях выступал бэкдор DoublePulsar, также из коллекции Equation Group. После слива Shadow Brokers он за несколько недель поразил десятки тысяч компьютеров по всему миру.

Участники Buckeye активно развивали Bemstour: с сентября 2016 года инструмент умеет работать с shell-командами, копировать пользовательские файлы и создавать на компьютере новые учетные записи. Расширенные возможности позволяли преступникам оставаться в системе после удаления DoublePulsar.

Хотя группировка ушла с радаров в 2017 году, доработка кода продолжается до сих пор — последнюю версию Bemstour опубликовали в марте, через 11 дней после выхода патча к CVE-2019-0703. Специалисты в равной степени допускают, что новейшие кампании может вести как сама Buckeye, так и другая группировка, которая каким-то образом получила код зловреда.

Открытым остается и вопрос, как материалы Equation Group попали к злоумышленникам. По словам экспертов, вредоносное ПО в кампаниях Buckeye несколько отличается от экземпляров Shadow Brokers. Например, у первых в коде есть дополнительный слой обфускации, а фреймворк для панели администратора отсутствует. Это позволяет предположить, что преступники из Buckeye получили лишь часть материалов — возможно, восстановили ПО из артефактов в перехваченном сетевом трафике. Другие, менее вероятные версии включают взлом незащищенного хранилища и получение зловредов от бывшего участника Equation Group.

Категории: Вредоносные программы, Главное, Уязвимости, Хакеры