Исследователи словацкой компании ESET Антон Черепанов и Петер Стрычек опубликовали отчет о деятельности ранее неизвестного кластера угроз, получившего название LongNosedGoblin. Эта группировка, связанная с Китаем, занимается кибершпионажем и активна как минимум с сентября 2023 года. Специалисты впервые обнаружили активность хакеров в системе правительственного учреждения в Юго-Восточной Азии в феврале 2024 года.
Основными целями злоумышленников являются правительственные организации в странах Юго-Восточной Азии и Японии. Позднее была зафиксирована атака на организацию в одной из стран Европейского союза, где использовался отдельный вариант вредоносного программного обеспечения. Несмотря на широкую географию атак, точный метод получения первоначального доступа к скомпрометированным сетям на данный момент остается неизвестным.
Для распространения вредоносного ПО внутри взломанных сетей LongNosedGoblin использует групповые политики Windows (Windows Group Policy). Это позволяет злоумышленникам централизованно управлять настройками и разрешениями для групп пользователей и компьютеров. Чтобы скрыть свою деятельность, хакеры используют для командно-контрольной (C&C) инфраструктуры легальные облачные сервисы, такие как Microsoft OneDrive и Google Drive. В атаке на европейскую организацию также было зафиксировано использование Яндекс. Диска.
Технический арсенал группы включает разнообразные инструменты, написанные преимущественно на C/.NET, известные как семейство вредоносных программ «Nosy». Для скрытности дроппер использует метод инъекции AppDomainManager, а само вредоносное ПО содержит «ограничители выполнения» (execution guardrails), которые позволяют операциям запускаться только на конкретных машинах жертв.
В период с января по март 2024 года множество жертв были инфицированы модулем NosyHistorian. Основная функция этого инструмента заключается в сборе истории браузеров Google Chrome, Microsoft Edge и Mozilla Firefox. Однако бэкдор под названием NosyDoor применялся более точечно и был обнаружен лишь у подмножества инфицированных целей. NosyDoor использует Microsoft OneDrive для связи с сервером управления, позволяя злоумышленникам эксфильтровать файлы, удалять данные и выполнять команды оболочки.
Дополнительные компоненты набора инструментов включают NosyStealer и NosyDownloader. NosyStealer предназначен для кражи данных браузеров (Google Chrome и Microsoft Edge) и отправки их в Google Drive в виде зашифрованного TAR-архива. NosyDownloader загружает и запускает полезную нагрузку непосредственно в памяти. Одной из таких нагрузок является кейлоггер NosyLogger — модифицированная версия инструмента DuckSharp, предназначенная для перехвата нажатий клавиш.
Помимо собственных разработок, LongNosedGoblin применяет обратный SOCKS5-прокси, утилиту для записи аудио и видео, а также загрузчик для фреймворка Cobalt Strike. Такой широкий спектр инструментов позволяет группировке гибко адаптироваться под различные задачи шпионажа и наблюдения за жертвами.
Анализ кода выявил возможные, хотя и слабые, пересечения с другими группами угроз, такими как ToddyCat и Erudite Mogwai. Более явные связи прослеживаются через вредоносное ПО: бэкдор NosyDoor имеет сходство с программой LuckyStrike Agent. В PDB-пути LuckyStrike Agent была найдена фраза «Paid Version» («Платная версия»), что наводит исследователей на вывод о том, что данное вредоносное ПО может продаваться, лицензироваться или передаваться между несколькими прокитайскими группировками.
Изображение носит иллюстративный характер
Основными целями злоумышленников являются правительственные организации в странах Юго-Восточной Азии и Японии. Позднее была зафиксирована атака на организацию в одной из стран Европейского союза, где использовался отдельный вариант вредоносного программного обеспечения. Несмотря на широкую географию атак, точный метод получения первоначального доступа к скомпрометированным сетям на данный момент остается неизвестным.
Для распространения вредоносного ПО внутри взломанных сетей LongNosedGoblin использует групповые политики Windows (Windows Group Policy). Это позволяет злоумышленникам централизованно управлять настройками и разрешениями для групп пользователей и компьютеров. Чтобы скрыть свою деятельность, хакеры используют для командно-контрольной (C&C) инфраструктуры легальные облачные сервисы, такие как Microsoft OneDrive и Google Drive. В атаке на европейскую организацию также было зафиксировано использование Яндекс. Диска.
Технический арсенал группы включает разнообразные инструменты, написанные преимущественно на C/.NET, известные как семейство вредоносных программ «Nosy». Для скрытности дроппер использует метод инъекции AppDomainManager, а само вредоносное ПО содержит «ограничители выполнения» (execution guardrails), которые позволяют операциям запускаться только на конкретных машинах жертв.
В период с января по март 2024 года множество жертв были инфицированы модулем NosyHistorian. Основная функция этого инструмента заключается в сборе истории браузеров Google Chrome, Microsoft Edge и Mozilla Firefox. Однако бэкдор под названием NosyDoor применялся более точечно и был обнаружен лишь у подмножества инфицированных целей. NosyDoor использует Microsoft OneDrive для связи с сервером управления, позволяя злоумышленникам эксфильтровать файлы, удалять данные и выполнять команды оболочки.
Дополнительные компоненты набора инструментов включают NosyStealer и NosyDownloader. NosyStealer предназначен для кражи данных браузеров (Google Chrome и Microsoft Edge) и отправки их в Google Drive в виде зашифрованного TAR-архива. NosyDownloader загружает и запускает полезную нагрузку непосредственно в памяти. Одной из таких нагрузок является кейлоггер NosyLogger — модифицированная версия инструмента DuckSharp, предназначенная для перехвата нажатий клавиш.
Помимо собственных разработок, LongNosedGoblin применяет обратный SOCKS5-прокси, утилиту для записи аудио и видео, а также загрузчик для фреймворка Cobalt Strike. Такой широкий спектр инструментов позволяет группировке гибко адаптироваться под различные задачи шпионажа и наблюдения за жертвами.
Анализ кода выявил возможные, хотя и слабые, пересечения с другими группами угроз, такими как ToddyCat и Erudite Mogwai. Более явные связи прослеживаются через вредоносное ПО: бэкдор NosyDoor имеет сходство с программой LuckyStrike Agent. В PDB-пути LuckyStrike Agent была найдена фраза «Paid Version» («Платная версия»), что наводит исследователей на вывод о том, что данное вредоносное ПО может продаваться, лицензироваться или передаваться между несколькими прокитайскими группировками.
