Факты
August 25

MASEPIE. Потому что одного вредоносного ПО недостаточно

В декабре 2023 года APT28 разработали MASEPIE, небольшой бэкдор на Python, способный выполнять произвольные команды на машинах-жертвах. Расследование ФБР показало, что скомпрометированные Ubiquiti EdgeRouters были использованы в качестве C2-инфраструктуры для бэкдоров MASEPIE.

C2 инфраструктура

Хотя APT28 не развёртывает MASEPIE на самих EdgeRouters, скомпрометированные маршрутизаторы использовались в качестве инфраструктуры C2 для связи с бэкдорами MASEPIE и контроля над ними, установленными в системах, принадлежащих целевым лицам и организациям.

Данные, отправляемые на EdgeRouters, действующие как серверы C2, были зашифрованы с использованием случайно сгенерированного 16-символьного ключа AES, для затруднения обнаружения и анализа трафика.

Функциональность бэкдора MASEPIE

MASEPIE – это бэкдор на основе Python, который позволяет выполнять произвольные команды в заражённых системах. Этот бэкдор предоставляет возможности удалённого управления для выполнения действий:

📌 эксфильтрация данных

📌 распространение внутри скомпрометированной сети

📌 развёртывание дополнительных вредоносных программ или инструментов

📌 выполнение команд разведки и сбора разведданных

Смягчение последствий

Чтобы снизить риск появления бэкдоров MASEPIE и использования скомпрометированных EdgeRouters в качестве C2-инфраструктуры, следует предпринять следующие шаги:

📌 Внедрение защиты конечных устройств: развёртывание решений для защиты конечных устройств, способных обнаруживать и предотвращать выполнение MASEPIE и других вредоносных скриптов Python или бэкдоров.

📌 Мониторинг сетевого трафика: отслеживание сетевого трафика на предмет любых подозрительных зашифрованных сообщений или подключений к известной инфраструктуре, включая скомпрометированные EdgeRouters.

📌 Анализ сетевых журналов: просмотр сетевых журналов на предмет признаков зашифрованных сообщений или подключений к EdgeRouters, которые могут действовать как серверы C2.