Поделиться
Китайский хакерский кластер атакует американские НКО
Symantec и Carbon Black опубликовали исследование деятельности неназванного китайского APT-кластера, чересчур изобилующее «белыми пятнами»
Переменный успех
Исследователи компаний Broadcom Symantec и Carbon Black опубликовали исследование о деятельности связанного с Китаем кластера, который в качестве мишеней выбрал американские некоммерческие и негосударственные организации. По мнению исследователей, целью хакеров была вполне конкретная (неназванная) организация, которая плотно связана с социальными проблемами в США.
В апреле 2025 г. операторам кампании удалось на несколько недель окопаться в сетях этой организации.
Первые признаки активности были зафиксированы 5 апреля 2025 г.: тогда началось массированное сканирование сервера организации с попытками эксплуатировать ряд старых уязвимостей, в частности, CVE-2022-26134 (в Atlassian), CVE-2021-44228 (в Apache Log4j), CVE-2017-9805 (в Apache Struts), and CVE-2017-17562 (в GoAhead Web Server).
Эти попытки, однако, не увенчались успехом: по мнению исследователей, хакеры в итоге либо воспользовались брутфорсом, либо провели атаку типа credential stuffing (подстановку учётных данных).
Больше неизвестных, чем конкретики
16 апреля 2025 г. атакующие запустили несколько команд curl для проверки соединения, вслед за чем задействовали инструмент командной строки netstat для сбора сведений о настройках сети. После чего атакующие внедрили в локальный планировщик задач команду на запуск легитимной утилиты Microsoft msbuild.exe, с помощью которой компилировалась вредоносная нагрузка (так и оставшаяся, кстати, неизвестной). Та же задача создавала ещё одно отложенное задание, которое каждые 60 минут производила загрузку и внедрение неизвестного кода в утилиту csc.exe с привилегиями уровня SYSTEM. Эта утилита использовалась для установки соединений с командным сервером по адресу 38.180.83[.]166.
Исследователям удалось пронаблюдать деятельность противной стороны в режиме реального времени: те, воспользовавшись самописным загрузчиком, распаковывали и запускали некий вредоносный код, скорее всего, - троянец удалённого доступа.
Сверх этого атакующие задействовали легитимный компонент антивируса Vipre (vetysafe.exe) для побочной загрузки DLL-загрузчика (sbamres.dll). Этим же компнентом ранее пользовались группировки Salt Typhoon/Earth Estries и Earth Longzhi, подкластер группы APT41 (обе - китайские).
Атакующие также использовали такие инструменты как Dcsync и Imjpuexc. Насколько успешно - вопрос открытый. После 16 апреля никакой дополнительной активности с их стороны не наблюдалось.
Исследователи считают, что злоумышленники пытались добраться до доменных контроллеров: это позволило бы им проникнуть в сеть на максимальную глубину.
Какая именно группировка стояла за этими атаками, определить не удалось: как пишут исследователи, китайские APT-кластеры регулярно обмениваются инструментарием.
«Атрибуция, с одной стороны, неблагодарное занятие, с другой - все кластеры, считающиеся китайскими, координируются, скорее всего, из одного центра и преследуют одни и те же - разведывательные - цели, - говорит Никита Павлов, эксперт по информационной безопасности компании SEQ».
Он также добавил, что работники этих кластеров, очевидно, обладают предельно высоким уровнем осведомлённости о стандартном ПО, которое используют интересующие их организации, и его слабых местах.
Издание The Hacker News подчёркивает использование старых уязвимостей в целевом ПО, а также отмечает стабильно высокую активность китайских кибершпионов, в той или иной степени направленной на всех геополитических игроков в мире.
Короткая ссылка
