В первую неделю июля 2025 года на европейскую телекоммуникационную организацию была совершена сложная кибератака. Злоумышленники получили первоначальный доступ в сеть, использовав уязвимость в устройстве Citrix NetScaler Gateway. Атака была своевременно обнаружена и остановлена специалистами по кибербезопасности из компании Darktrace до того, как она привела к более серьезным последствиям.
Ответственность за инцидент несет группа кибершпионажа Salt Typhoon, связанная с Китаем. Эта группировка также известна под псевдонимами Earth Estries, FamousSparrow, GhostEmperor и UNC5807. Она классифицируется как развитая устойчивая угроза (Advanced Persistent Threat, APT), что указывает на высокий уровень ее технической оснащенности и мотивации.
Salt Typhoon известна своей способностью обеспечивать скрытное и долговременное присутствие в скомпрометированных сетях. Ключевой особенностью тактики группы является использование легитимных инструментов и доверенного программного обеспечения для маскировки своей активности. Злоумышленники постоянно меняют свои методы, что затрудняет их обнаружение традиционными средствами защиты. Основная цель их операций — кража конфиденциальных данных. География деятельности группы охватывает более 80 стран в Северной Америке, Европе, на Ближнем Востоке и в Африке.
В ходе этой атаки злоумышленники развернули новый вариант вредоносного программного обеспечения под названием Snappybee, также известного как Deed RAT (троян удаленного доступа). Предполагается, что Snappybee является преемником вредоносной программы ShadowPad (или PoisonPlug), которую группа Salt Typhoon активно использовала в предыдущих кампаниях.
Проникнув в сеть через шлюз Citrix, атакующие осуществили боковое перемещение на хосты Citrix Virtual Delivery Agent (VDA), которые находились в подсети Machine Creation Services (MCS). Для сокрытия своих реальных IP-адресов и анонимизации трафика группа использовала программное обеспечение SoftEther VPN.
Основным методом запуска вредоносного кода стала техника DLL side-loading (загрузка сторонних DLL). Этот метод, часто применяемый китайскими хакерскими группами, заключается в том, что вредоносная DLL-библиотека Snappybee размещается в одном каталоге с легитимным исполняемым файлом. При запуске легитимная программа непреднамеренно загружает и выполняет вредоносный код из подмененной библиотеки.
Для маскировки своей вредоносной активности Salt Typhoon использовала исполняемые файлы трех известных антивирусных продуктов: Norton Antivirus, Bkav Antivirus и IObit Malware Fighter. Этот подход позволяет эффективно обходить средства защиты, которые доверяют процессам, запущенным от имени проверенного антивирусного ПО.
После успешной активации вредоносная программа Snappybee устанавливала соединение с командным сервером (C2), расположенным по адресу
Изображение носит иллюстративный характер
Ответственность за инцидент несет группа кибершпионажа Salt Typhoon, связанная с Китаем. Эта группировка также известна под псевдонимами Earth Estries, FamousSparrow, GhostEmperor и UNC5807. Она классифицируется как развитая устойчивая угроза (Advanced Persistent Threat, APT), что указывает на высокий уровень ее технической оснащенности и мотивации.
Salt Typhoon известна своей способностью обеспечивать скрытное и долговременное присутствие в скомпрометированных сетях. Ключевой особенностью тактики группы является использование легитимных инструментов и доверенного программного обеспечения для маскировки своей активности. Злоумышленники постоянно меняют свои методы, что затрудняет их обнаружение традиционными средствами защиты. Основная цель их операций — кража конфиденциальных данных. География деятельности группы охватывает более 80 стран в Северной Америке, Европе, на Ближнем Востоке и в Африке.
В ходе этой атаки злоумышленники развернули новый вариант вредоносного программного обеспечения под названием Snappybee, также известного как Deed RAT (троян удаленного доступа). Предполагается, что Snappybee является преемником вредоносной программы ShadowPad (или PoisonPlug), которую группа Salt Typhoon активно использовала в предыдущих кампаниях.
Проникнув в сеть через шлюз Citrix, атакующие осуществили боковое перемещение на хосты Citrix Virtual Delivery Agent (VDA), которые находились в подсети Machine Creation Services (MCS). Для сокрытия своих реальных IP-адресов и анонимизации трафика группа использовала программное обеспечение SoftEther VPN.
Основным методом запуска вредоносного кода стала техника DLL side-loading (загрузка сторонних DLL). Этот метод, часто применяемый китайскими хакерскими группами, заключается в том, что вредоносная DLL-библиотека Snappybee размещается в одном каталоге с легитимным исполняемым файлом. При запуске легитимная программа непреднамеренно загружает и выполняет вредоносный код из подмененной библиотеки.
Для маскировки своей вредоносной активности Salt Typhoon использовала исполняемые файлы трех известных антивирусных продуктов: Norton Antivirus, Bkav Antivirus и IObit Malware Fighter. Этот подход позволяет эффективно обходить средства защиты, которые доверяют процессам, запущенным от имени проверенного антивирусного ПО.
После успешной активации вредоносная программа Snappybee устанавливала соединение с командным сервером (C2), расположенным по адресу
aar.gandhibludtric[.]com. Связь с сервером осуществлялась по протоколу HTTP, а также по неопознанному протоколу на основе TCP, что обеспечивало управление скомпрометированной системой и потенциальную выгрузку данных.
