Китайские хакеры превратили геолокационный сервис в скрытый VPN-туннель

Китайская государственная хакерская группировка, известная как Flax Typhoon, а также под псевдонимами Ethereal Panda и RedJuliett, успешно провела сложную кибератаку, оставаясь незамеченной в скомпрометированной сети более года. По данным правительства США, эта группа связана с пекинской публичной компанией Integrity Technology Group. Злоумышленники известны своими скрытными методами и активным использованием легитимных инструментов жертвы для маскировки своей деятельности, что известно как тактика "Living-off-the-Land" (LotL).
Китайские хакеры превратили геолокационный сервис в скрытый VPN-туннель
Изображение носит иллюстративный характер

Объектом атаки стал общедоступный сервер с приложением для геокартографирования ArcGIS Server. Получив первоначальный доступ через скомпрометированную учетную запись администратора портала, хакеры модифицировали легитимный компонент приложения — расширение серверного объекта Java (SOE) — превратив его в веб-шелл. Этот бэкдор позволял им удаленно выполнять команды в системе.

Для активации вредоносного кода использовалось стандартное расширение ArcGIS под названием [JavaSimpleRESTSOE]. Команды на внутренний сервер отправлялись через общедоступный портал с помощью REST-операций, что делало вредоносный трафик неотличимым от обычного функционирования приложения. Для обеспечения эксклюзивного контроля над веб-шеллом злоумышленники защитили его жестко закодированным ключом.

Чтобы обеспечить сверхнадежную персистентность, группа Flax Typhoon внедрила свой вредоносный код непосредственно в системные резервные копии. Такой подход гарантировал, что бэкдор сохранится и будет восстановлен даже в случае полного восстановления сервера из бэкапа. Это демонстрирует высокий уровень предусмотрительности и технической подготовки атакующих.

В качестве второго механизма закрепления в системе хакеры загрузили в папку C:\Windows\System32 переименованный исполняемый файл VPN-клиента SoftEther. Файлу было присвоено имя bridge.exe, чтобы он не вызывал подозрений. Для его автоматического запуска при каждой перезагрузке сервера была создана новая служба Windows с названием "SysBridge".

Процесс bridge.exe устанавливал исходящее HTTPS-соединение на порт 443 с IP-адресом, контролируемым злоумышленниками. Таким образом создавался скрытый VPN-туннель, который фактически расширял локальную сеть жертвы до удаленного сервера хакеров. Этот метод позволил им обойти сетевые средства мониторинга и файрволы, действуя так, будто они находятся внутри периметра защиты.

С помощью созданного плацдарма группа Flax Typhoon начала разведку внутри сети. Их основной целью стали две рабочие станции, принадлежавшие сотрудникам ИТ-отдела. Атакующие намеревались получить учетные данные для дальнейшего продвижения по сети. Расследование подтвердило, что им удалось получить доступ к учетной записи администратора и сбросить ее пароль.

Данные об этой атаке были предоставлены охранной фирмой ReliaQuest, а конкретные детали были изложены исследователями Алексой Феминеллой и Джеймсом Сяном в отчете, которым они поделились с изданием The Hacker News. Этот инцидент подчеркивает растущую угрозу атак, в которых злоумышленники манипулируют доверенными системными функциями для обхода традиционных средств обнаружения.


Новое на сайте

20276Как один npm-пакет для защиты кода сам стал источником заражения? 20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать... 20262Дыра в Defender: как гонка процессов открывала путь к правам SYSTEM, а заплатка принесла...
Ссылка