Общее описание
ChamelGang — APT-группировка, активная, как минимум, с 2019 года. Особенность группы — маскировка ВПО и сетевой инфраструктуры под легитимные сервисы Microsoft, TrendMicro, McAfee, IBM, Google и других компаний. В расследуемых нами кейсах группа проникала в сеть двумя способами: trusted relationship — группа скомпрометировала дочернюю организацию и через нее проникла в сеть целевого предприятия, и компрометация Exchange сервера с помощью цепочки уязвимостей ProxyShell. Еще одна особенность группы — использование пассивновного бэкбора DoorMe, который группа встраивала как модуль в скомпрометированный Exchange или в другой IIS сервер.
Инструменты
- DoorMe
- ProxyT
- BeaconLoader
- Cobalt Strike
- FRP
- Tiny Shell
- reGeorg
Атакуемые страны
Афганистан
Вьетнам
Индия
Литва
Непал
США
Тайвань
Турция
Япония