Группа Earth Alux, связанная с Китаем, осуществляет сложные киберинтрузии в различных секторах. Отчёт Trend Micro, подготовленный Lenart Bermejo, Ted Lee и Theo Chen и опубликованный в понедельник, документирует систематическое применение многоступенчатых атак для получения доступа к целевым системам.
Активность злоумышленников впервые зафиксирована во втором квартале 2023 года в Азиатско-Тихоокеанском регионе, а с середины 2024 года её динамика охватила Латинскую Америку. Среди конкретных целей – Таиланд, Филиппины, Малайзия, Тайвань и Бразилия, при этом атаки нацелены на государственные учреждения, технологические компании, логистику, производство, телекоммуникационные и IT-сервисы, а также розничный сектор.
Цепочка заражения начинается с эксплуатации уязвимых интернет-экспонированных веб-приложений, после чего внедряется Godzilla web shell, позволяющая установить последующие полезные нагрузки и обеспечить скрытный доступ.
На различных этапах атаки применяется вредоносное ПО VARGEIT, которое функционирует как бэкдор, обеспечивая сбор данных, разведку и эксфильтрацию. Инструмент загружает дополнительные средства непосредственно с серверов управления через создание нового процесса с именем «mspaint.exe» для продолжения атакующих операций.
Для расширения возможностей VARGEIT внедряются компоненты RAILLOAD и RAILSETTER. RAILLOAD использует метод DLL side-loading для запуска зашифрованной полезной нагрузки, тогда как RAILSETTER отвечает за сохранение устойчивости атаки, изменяя отметки времени артефактов и создавая запланированное задание для их активации.
На начальной стадии атаки применяется вредоносное ПО COBEACON, также известное как Cobalt Strike Beacon. Оно разворачивается с помощью загрузчика MASQLOADER или посредством RSBINJECT – командной оболочки на основе Rust, что позволяет злоумышленникам обеспечить первичный уровень доступа.
MASQLOADER демонстрирует самостоятельную структуру кода, отличную от RAILSETTER и RAILLOAD, что указывает на наличие различных направлений разработки. Последующие версии MASQLOADER используют технику перезаписи хуков в NTDLL.dll, установленных программами безопасности, что помогает обходить защитные механизмы.
VARGEIT поддерживает до десяти различных каналов для связи с серверами управления, включая протоколы HTTP, TCP, UDP, ICMP, DNS и даже Microsoft Outlook посредством Graph API через черновики почтового ящика злоумышленника. Сообщения от серверов начинаются с префикса «r_», тогда как ответы бэкдоров маркируются как «p_». Помимо этого, инструменты тестируются с использованием ZeroEye и VirTest, популярных в китайскоязычном сообществе, что подтверждает их скрытность и эффективность в обеспечении долгосрочного контроля над целевыми средами.
Изображение носит иллюстративный характер
Активность злоумышленников впервые зафиксирована во втором квартале 2023 года в Азиатско-Тихоокеанском регионе, а с середины 2024 года её динамика охватила Латинскую Америку. Среди конкретных целей – Таиланд, Филиппины, Малайзия, Тайвань и Бразилия, при этом атаки нацелены на государственные учреждения, технологические компании, логистику, производство, телекоммуникационные и IT-сервисы, а также розничный сектор.
Цепочка заражения начинается с эксплуатации уязвимых интернет-экспонированных веб-приложений, после чего внедряется Godzilla web shell, позволяющая установить последующие полезные нагрузки и обеспечить скрытный доступ.
На различных этапах атаки применяется вредоносное ПО VARGEIT, которое функционирует как бэкдор, обеспечивая сбор данных, разведку и эксфильтрацию. Инструмент загружает дополнительные средства непосредственно с серверов управления через создание нового процесса с именем «mspaint.exe» для продолжения атакующих операций.
Для расширения возможностей VARGEIT внедряются компоненты RAILLOAD и RAILSETTER. RAILLOAD использует метод DLL side-loading для запуска зашифрованной полезной нагрузки, тогда как RAILSETTER отвечает за сохранение устойчивости атаки, изменяя отметки времени артефактов и создавая запланированное задание для их активации.
На начальной стадии атаки применяется вредоносное ПО COBEACON, также известное как Cobalt Strike Beacon. Оно разворачивается с помощью загрузчика MASQLOADER или посредством RSBINJECT – командной оболочки на основе Rust, что позволяет злоумышленникам обеспечить первичный уровень доступа.
MASQLOADER демонстрирует самостоятельную структуру кода, отличную от RAILSETTER и RAILLOAD, что указывает на наличие различных направлений разработки. Последующие версии MASQLOADER используют технику перезаписи хуков в NTDLL.dll, установленных программами безопасности, что помогает обходить защитные механизмы.
VARGEIT поддерживает до десяти различных каналов для связи с серверами управления, включая протоколы HTTP, TCP, UDP, ICMP, DNS и даже Microsoft Outlook посредством Graph API через черновики почтового ящика злоумышленника. Сообщения от серверов начинаются с префикса «r_», тогда как ответы бэкдоров маркируются как «p_». Помимо этого, инструменты тестируются с использованием ZeroEye и VirTest, популярных в китайскоязычном сообществе, что подтверждает их скрытность и эффективность в обеспечении долгосрочного контроля над целевыми средами.