Специалисты подразделения Unit 42 компании Palo Alto Networks обнаружили масштабную кибершпионскую кампанию, нацеленную на военные структуры Юго-Восточной Азии. За операцией, по их оценке, стоят китайские государственные хакеры. Активность отслеживается под идентификатором CL-STA-1087, где CL означает «кластер», а STA указывает на государственную мотивацию. Кампания длится как минимум с 2020 года — именно к сентябрю 2020-го относятся первые обнаруженные следы на платформе Pastebin.
Исследователи Лиор Рохбергер и Йоав Зема, работавшие над анализом этой активности, обращают внимание на одну принципиальную деталь: атакующие не занимались массовой выкачкой данных. Они целенаправленно искали конкретные файлы. Такое поведение аналитики назвали «стратегическим операционным терпением». Хакеров интересовали оценки боеспособности, организационная структура вооружённых сил, военная стратегия, протоколы официальных совещаний, а также данные о совместных учениях и сотрудничестве с западными армиями. Отдельной целью были системы C4I — командование, управление, связь, компьютерные системы и разведка.
Способ первоначального проникновения в сети до сих пор не установлен. Аналитики Unit 42 зафиксировали вторжение после того, как засекли подозрительное выполнение PowerShell-скриптов. Скрипт «засыпал» на шесть часов, а потом создавал обратные оболочки (reverse shells), подключаясь к серверу управления злоумышленников. Сам по себе такой долгий период ожидания — приём, который позволяет обойти автоматические системы анализа поведения.
Арсенал группировки включает три основных инструмента. Первый — бэкдор AppleChris. Это статический имплант, который запускается через подмену DLL (DLL hijacking). Для получения адреса командного сервера он обращается к общим аккаунтам-посредникам, так называемым «dead drop resolvers», откуда извлекает C2-адрес в формате Base64. Существует как минимум два варианта: первый использует Dropbox в качестве основного канала связи и Pastebin как резервный, второй вариант работает только через Pastebin и дополнительно умеет проксировать сетевой трафик.
AppleChris обходит песочницы довольно простым, но действенным способом — задержкой выполнения. EXE-файлы «спят» 30 секунд, DLL-файлы — 120 секунд. Многие автоматические анализаторы за это время уже завершают проверку и не фиксируют вредоносного поведения. Функциональность у бэкдора широкая: перечисление дисков, просмотр каталогов, загрузка и удаление файлов, работа с процессами, удалённая командная оболочка, скрытый запуск процессов.
Второй инструмент — бэкдор MemFun. В отличие от AppleChris, он модульный и более динамичный. Цепочка заражения выглядит так: загрузчик внедряет шелл-код, шелл-код запускает в памяти загрузчик второго уровня, тот обращается к Pastebin за конфигурацией C2, связывается с сервером управления и получает DLL-файл, который уже активирует полноценный бэкдор. Такая архитектура позволяет оператору на лету менять полезную нагрузку.
У MemFun впечатляющий набор антикриминалистических приёмов. Дроппер подменяет временную метку создания собственного файла, выставляя её равной дате создания системной директории Windows. Основная нагрузка внедряется в память легитимного процесса dllhost.exe методом process hollowing — когда содержимое запущенного, но приостановленного процесса полностью заменяется вредоносным кодом. На диске практически не остаётся следов.
Третий компонент — Getpass, кастомная сборка инструмента Mimikatz. Она нацелена на извлечение данных из памяти процесса lsass.exe. Getpass собирает пароли в открытом виде, NTLM-хеши и аутентификационные данные, что позволяет атакующим повышать привилегии и перемещаться по скомпрометированной сети.
Вся операция несёт на себе явные признаки работы APT-группировки высокого уровня. Тщательно выстроенные цепочки доставки. Множество уровней маскировки. Стабильная инфраструктура, которая работает годами. Спящий доступ, который может месяцами не проявлять себя, пока оператор не решит, что пришло время действовать. Каждый компонент заточен под то, чтобы оставаться невидимым как можно дольше.
Пять лет сбора информации о военном потенциале, структурах управления и взаимодействии с западными союзниками — это огромный объём стратегических разведданных. И пока даже неизвестно, каким путём атакующие попали в сети своих жертв. Что заставляет задуматься: сколько ещё подобных кампаний продолжают работать прямо сейчас, но пока просто никем не замечены?
Изображение носит иллюстративный характер
Исследователи Лиор Рохбергер и Йоав Зема, работавшие над анализом этой активности, обращают внимание на одну принципиальную деталь: атакующие не занимались массовой выкачкой данных. Они целенаправленно искали конкретные файлы. Такое поведение аналитики назвали «стратегическим операционным терпением». Хакеров интересовали оценки боеспособности, организационная структура вооружённых сил, военная стратегия, протоколы официальных совещаний, а также данные о совместных учениях и сотрудничестве с западными армиями. Отдельной целью были системы C4I — командование, управление, связь, компьютерные системы и разведка.
Способ первоначального проникновения в сети до сих пор не установлен. Аналитики Unit 42 зафиксировали вторжение после того, как засекли подозрительное выполнение PowerShell-скриптов. Скрипт «засыпал» на шесть часов, а потом создавал обратные оболочки (reverse shells), подключаясь к серверу управления злоумышленников. Сам по себе такой долгий период ожидания — приём, который позволяет обойти автоматические системы анализа поведения.
Арсенал группировки включает три основных инструмента. Первый — бэкдор AppleChris. Это статический имплант, который запускается через подмену DLL (DLL hijacking). Для получения адреса командного сервера он обращается к общим аккаунтам-посредникам, так называемым «dead drop resolvers», откуда извлекает C2-адрес в формате Base64. Существует как минимум два варианта: первый использует Dropbox в качестве основного канала связи и Pastebin как резервный, второй вариант работает только через Pastebin и дополнительно умеет проксировать сетевой трафик.
AppleChris обходит песочницы довольно простым, но действенным способом — задержкой выполнения. EXE-файлы «спят» 30 секунд, DLL-файлы — 120 секунд. Многие автоматические анализаторы за это время уже завершают проверку и не фиксируют вредоносного поведения. Функциональность у бэкдора широкая: перечисление дисков, просмотр каталогов, загрузка и удаление файлов, работа с процессами, удалённая командная оболочка, скрытый запуск процессов.
Второй инструмент — бэкдор MemFun. В отличие от AppleChris, он модульный и более динамичный. Цепочка заражения выглядит так: загрузчик внедряет шелл-код, шелл-код запускает в памяти загрузчик второго уровня, тот обращается к Pastebin за конфигурацией C2, связывается с сервером управления и получает DLL-файл, который уже активирует полноценный бэкдор. Такая архитектура позволяет оператору на лету менять полезную нагрузку.
У MemFun впечатляющий набор антикриминалистических приёмов. Дроппер подменяет временную метку создания собственного файла, выставляя её равной дате создания системной директории Windows. Основная нагрузка внедряется в память легитимного процесса dllhost.exe методом process hollowing — когда содержимое запущенного, но приостановленного процесса полностью заменяется вредоносным кодом. На диске практически не остаётся следов.
Третий компонент — Getpass, кастомная сборка инструмента Mimikatz. Она нацелена на извлечение данных из памяти процесса lsass.exe. Getpass собирает пароли в открытом виде, NTLM-хеши и аутентификационные данные, что позволяет атакующим повышать привилегии и перемещаться по скомпрометированной сети.
Вся операция несёт на себе явные признаки работы APT-группировки высокого уровня. Тщательно выстроенные цепочки доставки. Множество уровней маскировки. Стабильная инфраструктура, которая работает годами. Спящий доступ, который может месяцами не проявлять себя, пока оператор не решит, что пришло время действовать. Каждый компонент заточен под то, чтобы оставаться невидимым как можно дольше.
Пять лет сбора информации о военном потенциале, структурах управления и взаимодействии с западными союзниками — это огромный объём стратегических разведданных. И пока даже неизвестно, каким путём атакующие попали в сети своих жертв. Что заставляет задуматься: сколько ещё подобных кампаний продолжают работать прямо сейчас, но пока просто никем не замечены?
