Positive Technologies
  • AF
    Афганистан
  • VN
    Вьетнам
  • IN
    Индия
  • LT
    Литва
  • NP
    Непал
  • US
    США
  • TW
    Тайвань
  • TR
    Турция
  • JP
    Япония

Общее описание

ChamelGang — APT-группировка, активная, как минимум, с 2019 года. Особенность группы — маскировка ВПО и сетевой инфраструктуры под легитимные сервисы Microsoft, TrendMicro, McAfee, IBM, Google и других компаний. В расследуемых нами кейсах группа проникала в сеть двумя способами: trusted relationship — группа скомпрометировала дочернюю организацию и через нее проникла в сеть целевого предприятия, и компрометация Exchange сервера с помощью цепочки уязвимостей ProxyShell. Еще одна особенность группы — использование пассивновного бэкбора DoorMe, который группа встраивала как модуль в скомпрометированный Exchange или в другой IIS сервер.

Цели

  • Шпионаж

Инструменты

  • DoorMe
  • ProxyT
  • BeaconLoader
  • Cobalt Strike
  • FRP
  • Tiny Shell
  • reGeorg

Атакуемые страны

  • AF
    Афганистан
  • VN
    Вьетнам
  • IN
    Индия
  • LT
    Литва
  • NP
    Непал
  • US
    США
  • TW
    Тайвань
  • TR
    Турция
  • JP
    Япония
Атакуемые отрасли:
  • Авиационно-космическая промышленность
  • Государственный сектор
  • Телекоммуникации
  • Финансовый сектор
  • Энергетика

Отчеты Positive Technologies и других исследователей