Компании Symantec и Carbon Black представили аналитический отчёт о работе неустановленной китайской APT-группы, содержащий значительное количество нераскрытых деталей
Специалисты из подразделения Broadcom Symantec и Carbon Black обнародовали данные о китайской хакерской группировке, выбравшей своей мишенью американские неправительственные и некоммерческие структуры. Как полагают аналитики, злоумышленники целенаправленно атаковали определённую (не названную в отчёте) организацию, тесно связанную с актуальными общественными процессами в Соединённых Штатах.
В апреле 2025 года операторам этой кампании удалось на несколько недель закрепиться в инфраструктуре указанной организации.
Начальные проявления активности были обнаружены 5 апреля 2025 года: в этот день началось интенсивное сканирование серверов организации с попытками использования ряда известных уязвимостей, включая CVE-2022-26134 (в Atlassian), CVE-2021-44228 (в Apache Log4j), CVE-2017-9805 (в Apache Struts) и CVE-2017-17562 (в GoAhead Web Server).
Однако эти попытки не принесли результата: по оценке исследователей, злоумышленники в конечном счёте применили либо метод подбора паролей, либо атаку с использованием ранее скомпрометированных учётных данных.
16 апреля 2025 года атакующие выполнили серию curl-команд для проверки сетевого соединения, после чего использовали сетевую утилиту netstat для получения информации о конфигурации сети. Затем злоумышленники добавили в локальный планировщик задание на запуск легитимной программы Microsoft msbuild.exe, которая применялась для компиляции вредоносного кода (оставшегося, кстати, неидентифицированным). Это же задание создавало дополнительную отложенную задачу, которая с периодичностью в 60 минут загружала и внедряла неизвестный код в утилиту csc.exe с правами уровня SYSTEM. Данная утилита использовалась для установления соединения с командным сервером по адресу 38.180.83[.]166.
Исследователям посчастливилось наблюдать за действиями злоумышленников в прямом эфире: те, используя собственный загрузчик, распаковывали и активировали определённый вредоносный код, предположительно — троянскую программу удалённого доступа.
Кроме того, атакующие задействовали легитимный компонент антивируса Vipre (vetysafe.exe) для побочной загрузки DLL-загрузчика (sbamres.dll). Этот же компонент ранее использовался группировками Salt Typhoon/Earth Estries и Earth Longzhi, относящимися к подкластеру APT41 (обе — китайского происхождения).
Злоумышленники также применяли такие инструменты, как Dcsync и Imjpuexc. Степень эффективности их применения остаётся невыясненной. После 16 апреля какой-либо дополнительной активности с их стороны зафиксировано не было.
По мнению аналитиков, злоумышленники стремились получить доступ к контроллерам доменов: подобный шаг открыл бы им путь к наиболее глубокому проникновению в инфраструктуру.
Установить конкретную группировку, ответственную за эти инциденты, не представилось возможным: как отмечают эксперты, китайские APT-сообщества постоянно обмениваются средствами атак.
«С одной стороны, атрибуция — задача малоблагодарная, с другой — все кластеры, ассоциируемые с Китаем, вероятно, координируются из единого центра и преследуют идентичные разведывательные цели», — комментирует Никита Павлов, специалист по кибербезопасности компании SEQ.
Он также отметил, что участники этих группировок демонстрируют исключительную осведомлённость о стандартном программном обеспечении, применяемом в целевых организациях, и его уязвимых местах.
The Hacker News акцентирует внимание на эксплуатации давно известных уязвимостей в атакуемом ПО, одновременно фиксируя устойчивую активность китайских киберразведчиков, так или иначе затрагивающую всех ключевых геополитических участников мировой арены.
