MASEPIE. Потому что одного вредоносного ПО недостаточно
В декабре 2023 года APT28 разработали MASEPIE, небольшой бэкдор на Python, способный выполнять произвольные команды на машинах-жертвах. Расследование ФБР показало, что скомпрометированные Ubiquiti EdgeRouters были использованы в качестве C2-инфраструктуры для бэкдоров MASEPIE.
Хотя APT28 не развёртывает MASEPIE на самих EdgeRouters, скомпрометированные маршрутизаторы использовались в качестве инфраструктуры C2 для связи с бэкдорами MASEPIE и контроля над ними, установленными в системах, принадлежащих целевым лицам и организациям.
Данные, отправляемые на EdgeRouters, действующие как серверы C2, были зашифрованы с использованием случайно сгенерированного 16-символьного ключа AES, для затруднения обнаружения и анализа трафика.
Функциональность бэкдора MASEPIE
MASEPIE – это бэкдор на основе Python, который позволяет выполнять произвольные команды в заражённых системах. Этот бэкдор предоставляет возможности удалённого управления для выполнения действий:
📌 распространение внутри скомпрометированной сети
📌 развёртывание дополнительных вредоносных программ или инструментов
📌 выполнение команд разведки и сбора разведданных
Чтобы снизить риск появления бэкдоров MASEPIE и использования скомпрометированных EdgeRouters в качестве C2-инфраструктуры, следует предпринять следующие шаги:
📌 Внедрение защиты конечных устройств: развёртывание решений для защиты конечных устройств, способных обнаруживать и предотвращать выполнение MASEPIE и других вредоносных скриптов Python или бэкдоров.
📌 Мониторинг сетевого трафика: отслеживание сетевого трафика на предмет любых подозрительных зашифрованных сообщений или подключений к известной инфраструктуре, включая скомпрометированные EdgeRouters.
📌 Анализ сетевых журналов: просмотр сетевых журналов на предмет признаков зашифрованных сообщений или подключений к EdgeRouters, которые могут действовать как серверы C2.