На протяжении последних двух с половиной лет связанная с Китаем хакерская группа, получившая название Phantom Taurus, ведёт целенаправленную кампанию против государственных и телекоммуникационных организаций в Африке, на Ближнем Востоке и в Азии. Основная цель группировки — шпионаж и долгосрочный сбор разведывательных данных. Деятельность группы, ранее отслеживаемой Palo Alto Networks под кодовым названием CL-STA-0043 с июня 2023 года, характеризуется скрытностью, настойчивостью и способностью быстро адаптировать свои тактики и методы.
В фокусе атак Phantom Taurus находятся министерства иностранных дел, посольства, а также структуры, связанные с геополитическими событиями и военными операциями. Хакеры нацелены на получение дипломатической переписки, оборонной разведывательной информации и конфиденциальных данных из ключевых правительственных ведомств. Особый интерес для группы представляют документы, касающиеся таких стран, как Афганистан и Пакистан.
Операции группировки часто совпадают по времени с крупными мировыми событиями и вопросами региональной безопасности. Эта тактика также используется другими китайскими хакерскими группами. Например, схожую стратегию синхронизации атак с геополитической обстановкой применяла группа RedNovember, отслеживаемая компанией Recorded Future, при атаках на объекты в Тайване и Панаме.
Точный вектор первоначального проникновения Phantom Taurus в сети остаётся неясным. Однако предыдущие вторжения осуществлялись через эксплуатацию уязвимостей в локальных серверах, таких как Internet Information Services (IIS) и Microsoft Exchange. В частности, для получения доступа использовались уязвимости ProxyLogon и ProxyShell.
Отмечено существенное изменение в методах сбора данных: группа перешла от перехвата электронной почты к прямым атакам на базы данных. Для этого используется пакетный скрипт, который подключается к базе данных SQL Server, экспортирует результаты запросов в CSV-файл и завершает соединение. Выполнение этого скрипта осуществляется с помощью инфраструктуры Windows Management Instrumentation (WMI).
Для проведения атак группа разработала собственный, ранее неизвестный набор вредоносных программ на , получивший название NET-STAR. Этот инструментарий нацелен на веб-серверы Internet Information Services (IIS) и состоит из трёх веб-бэкдоров.
Первый компонент, IIServerCore, представляет собой бесфайловый модульный бэкдор, загружаемый через веб-шелл ASPX. Он выполняет команды и полезные нагрузки непосредственно в памяти, обмениваясь данными через зашифрованный канал управления (C2). Одной из его функций является команда
Второй и третий компоненты — AssemblyExecuter V1 и AssemblyExecuter V2. Первая версия предназначена для загрузки и выполнения в памяти дополнительных полезных нагрузок, написанных . Усовершенствованная версия, AssemblyExecuter V2, дополнительно включает функционал для обхода систем защиты Antimalware Scan Interface (AMSI) и Event Tracing for Windows (ETW).
Исследователи из Palo Alto Networks Unit 42, включая аналитика Лиора Рохбергера, установили, что Phantom Taurus использует операционную инфраструктуру, которая ранее применялась другими известными группами. К ним относятся AT27 (также известная как Iron Taurus), APT41 (Starchy Taurus или Winnti) и Mustang Panda (Stately Taurus).
Несмотря на использование общей инфраструктуры, наблюдается чёткая операционная обособленность. Конкретные компоненты инфраструктуры, задействованные Phantom Taurus, не были обнаружены в операциях других групп. Это указывает на преднамеренное разделение деятельности внутри общей экосистемы, что позволяет группировке сохранять скрытность и усложняет её атрибуцию.
Изображение носит иллюстративный характер
В фокусе атак Phantom Taurus находятся министерства иностранных дел, посольства, а также структуры, связанные с геополитическими событиями и военными операциями. Хакеры нацелены на получение дипломатической переписки, оборонной разведывательной информации и конфиденциальных данных из ключевых правительственных ведомств. Особый интерес для группы представляют документы, касающиеся таких стран, как Афганистан и Пакистан.
Операции группировки часто совпадают по времени с крупными мировыми событиями и вопросами региональной безопасности. Эта тактика также используется другими китайскими хакерскими группами. Например, схожую стратегию синхронизации атак с геополитической обстановкой применяла группа RedNovember, отслеживаемая компанией Recorded Future, при атаках на объекты в Тайване и Панаме.
Точный вектор первоначального проникновения Phantom Taurus в сети остаётся неясным. Однако предыдущие вторжения осуществлялись через эксплуатацию уязвимостей в локальных серверах, таких как Internet Information Services (IIS) и Microsoft Exchange. В частности, для получения доступа использовались уязвимости ProxyLogon и ProxyShell.
Отмечено существенное изменение в методах сбора данных: группа перешла от перехвата электронной почты к прямым атакам на базы данных. Для этого используется пакетный скрипт, который подключается к базе данных SQL Server, экспортирует результаты запросов в CSV-файл и завершает соединение. Выполнение этого скрипта осуществляется с помощью инфраструктуры Windows Management Instrumentation (WMI).
Для проведения атак группа разработала собственный, ранее неизвестный набор вредоносных программ на , получивший название NET-STAR. Этот инструментарий нацелен на веб-серверы Internet Information Services (IIS) и состоит из трёх веб-бэкдоров.
Первый компонент, IIServerCore, представляет собой бесфайловый модульный бэкдор, загружаемый через веб-шелл ASPX. Он выполняет команды и полезные нагрузки непосредственно в памяти, обмениваясь данными через зашифрованный канал управления (C2). Одной из его функций является команда
changeLastModified, используемая для изменения временных меток файлов (timestomping), что затрудняет криминалистический анализ. Второй и третий компоненты — AssemblyExecuter V1 и AssemblyExecuter V2. Первая версия предназначена для загрузки и выполнения в памяти дополнительных полезных нагрузок, написанных . Усовершенствованная версия, AssemblyExecuter V2, дополнительно включает функционал для обхода систем защиты Antimalware Scan Interface (AMSI) и Event Tracing for Windows (ETW).
Исследователи из Palo Alto Networks Unit 42, включая аналитика Лиора Рохбергера, установили, что Phantom Taurus использует операционную инфраструктуру, которая ранее применялась другими известными группами. К ним относятся AT27 (также известная как Iron Taurus), APT41 (Starchy Taurus или Winnti) и Mustang Panda (Stately Taurus).
Несмотря на использование общей инфраструктуры, наблюдается чёткая операционная обособленность. Конкретные компоненты инфраструктуры, задействованные Phantom Taurus, не были обнаружены в операциях других групп. Это указывает на преднамеренное разделение деятельности внутри общей экосистемы, что позволяет группировке сохранять скрытность и усложняет её атрибуцию.
