Разделы

ПО Софт Интернет Интернет-ПО Хостинг и домены Цифровизация ИТ в госсекторе Системное ПО Техника

Российские госструктуры под атакой китайских хакеров

Китайские хакеры нацелились на десятки ИТ-систем, используемых российскими правительственными организациями и ИТ-компаниями. Хакеры использует обновленную версию вредоносного программного обеспечения (ПО) Cloudsorcerer.

Новые атаки на госорганизации в России

Специалисты по информационной безопасности (ИБ) из «Лаборатории Касперского» выявили активную серию целевых кибератак на десятки компьютеров российских государственных организаций и ИТ-компаний. Об этом в середине августа 2024 г. сообщило издание Bleepingсomputer.

В ходе этих кибератак хакеры заражали устройства при помощи фишинговых писем с вложениями, содержащими вредоносные файлы ярлыков. При нажатии на ярлыки происходила установка вредоносного ПО, которое в дальнейшем получало команды через облачное хранилище Dropbox. С помощью этого ПО злоумышленники загружали на зараженные компьютеры дополнительных троянцев, в частности инструменты, используемые кибергруппировкой APT31, а также обновленный бэкдор Cloudsorcerer. В «Лаборатории Касперского» назвали эту кампанию Eastwind.

Хакерская группировка APT27 известна своими ИТ-атаками на правительственные организации, крупные корпорации и международные организации. Группировка также известна как Emissary Panda и Threat Group-3390. APT27 имеет свои корни в Китае и находится в центре внимания кибербезопасности с начала 2010 г. Группировка занимается шпионажем, кражей конфиденциальной информации и проведением кибератак на крупные организации по всему миру.

Китайские хакеры нацелились на российское правительство

Группировка APT31 (она же Zirconium или Judgment Panda), известная с 2016 г., а ее характерной особенностью является специфический вектор кибератак, а именно: эксплуатация уязвимостей в таких приложениях, как Java и Adobe Flash, использование неизвестных ранее уязвимостей нулевого дня от Equation. В различное время жертвами группировки становились правительства Финляндии, Норвегии и Германии. Ряд экспертов считают, что данная группа проводила атаки на Microsoft Exchange в Великобритании и США, на организации и лица, близкие к кандидатам в президенты США во время предвыборной кампании 2020 г., атаки во Франции в 2021 г. Также некоторые эксперты предполагают, что у этой группировки китайские корни.

Согласно данным «Лаборатории Касперского», троянская программа GrewApacha, загружаемая злоумышленниками из облачного хранилища Dropbox, использовалась группировкой APT31 как минимум с 2021 г. Бэкдор Cloudsorcerer был обновлен и теперь в нем в качестве первоначального командного сервера используются профили в блоге «Живой Журнал» и на сайте вопросов и ответов Quora. В кибератаках используется ранее неизвестный имплант Plugy c функциональностью классического бэкдора. Plugy загружается через бэкдор Cloudsorcerer, обладает обширным набором команд и поддерживает три различных протокола общения с командным центром. Кроме того, его код схож с кодом бэкдора DRBControl (также известен как Clambling), который несколько ИБ-компаний приписывают группировке APT27.

Техническая информация

Хакеры использовали целевой фишинг для первоначального заражения. Злоумышленники отправляли на электронные адреса, принадлежащие затронутым организациям, вредоносные письма с rar-архивами во вложении. Архивы имели следующие названия: инициативная группа из Черниговского района Приморского края.rar; вх.rar. Они содержали следующие файлы: Папку .con, в которой хранились: легитимный документ-приманка 1.docx, легитимный файл desktop.exe и вредоносный файл VERSION.dll.

Примечательно то, что аналогичный метод заражения применялся в кибератаке на одну организацию в США с использованием бэкдора Cloudsorcerer — об этом сообщила компания Proofpoint в июле 2024 г.

Хакеры используют классическую технику DLL sideloading: при запуске файла desktop.exe в соответствующий ему процесс загружается вредоносная библиотека VERSION.dll. Эта библиотека представляет собой бэкдор, упакованный при помощи инструмента VMProtect. При запуске он пытается связаться с облачным сервисом Dropbox при помощи жестко закодированного токена аутентификации. Подключившись к облаку, бэкдор считывает команды, которые необходимо исполнить, из содержащегося в хранилище файла <имя компьютера>/a.psd. Всего бэкдор поддерживает пять команд со следующими именами: dir, exec, sleep, upload, dawnload. Результаты выполнения этих команд загружаются в облачное хранилище в файл <имя компьютера>/b.psd.

Группировка APT31

По данным ИБ-специалистов из «Лаборатории Касперского», китайские хакеры использовали вышеописанный бэкдор для того, чтобы собирать информацию о зараженных компьютерах и устанавливать на них дополнительное вредоносное ПО. Когда злоумышленники запускали файл msedgeupdate.exe, в его процесс методом dll sideloading загружалась вредоносная библиотека msedgeupdate.dll.

Хотя набор из трех файлов напоминает «троицу», характерную для ИТ-атак с использованием Plugx, анализ этих файлов показал, что они являются rat-троянцем Grewapacha группировки APT31, который ранее уже описывали в 2021 и 2023 гг. Поведение загрузчика (msedgeupdate.dll) спустя год не изменилось. Как и раньше, он расшифровывает хранящуюся на диске полезную нагрузку при помощи xor-ключа и загружает ее в процесс dllhost.exe.

Сам rat-троянец также мало отличается от того, что был описан в 2023 г. Однако в его работу хакеры небольшие изменения: например, в новой версии используется два сервера управления вместо одного. В качестве начального сервера злоумышленники задействуют биографию профиля в сервисе GitHub — в ней содержится закодированная алгоритмом Base64 строка, которую считывает троянец. Извлеченную из профиля GitHub строку зловред декодирует, а затем расшифровывает однобайтовым алгоритмом XOR с ключом 0x09, тем самым получая адрес основного сервера управления (для скриншота выше — update.studiokaspersky[.]com).

Обнаружение следов выявленной ИТ-атаки

Выявленные в ходе кибератаки троянцы сильно отличаются друг от друга. Поэтому для обнаружения каждого из них необходимо использовать отдельный набор индикаторов компрометации.

Бесплатная российская замена Active Directory упрощает переход на отечественное ПО
Безопасность

Для того чтобы выявить работу бэкдора, распространяемого через электронную почту и использующего Dropbox для взаимодействия со злоумышленниками, можно провести поиск сравнительно больших по размеру (более 5 МБ) dll-файлов. О работе этого бэкдора может также свидетельствовать регулярное обращение к облаку Dropbox в сетевом трафике.

Троянец Grewapacha группировки APT31 может быть обнаружен поиском неподписанного файла с именем msedgeupdate.dll на файловой системе. Размер этого файла также составляет несколько МБ. Имплант Plugy, доставляемый при помощи бэкдора Cloudsorcerer, в ходе своей работы запускает процесс с именем msiexec.exe для каждого вошедшего в ИТ-систему пользователя, а также создает именованные каналы с шаблоном имени. Присутствие этих двух индикаторов на ИТ-системе с высокой степенью уверенности свидетельствует о заражении.

В ходе атак на государственные организации России хакеры часто используют наборы ИТ-инструментов, в которых реализуются самые разные техники и тактики. Разрабатывая эти инструменты, они прилагают немало усилий для того, чтобы максимально замаскировать вредоносную активность в сетевом трафике. Так, хакеры, стоящие за кампанией Eastwind, использовали в качестве командных серверов популярные сетевые сервисы — GitHub, Dropbox, Quora, а также российские «Живой Журнал» и «Яндекс.Диск».

Примечательно, что в компании Eastwind было замечено вредоносное ПО двух различных китаеязычных группировок: APT27 и APT31. Этот пример наглядно показывает, что APT-группировки очень часто работают совместно, активно делясь друг с другом знаниями и ИТ-инструментами для кибератак.

Антон Денисенко