APT41 расширяет географию атак: новое наступление на африканские правительственные структуры

Одной из ключевых особенностей этой атаки стало использование SharePoint-сервера внутри сети жертвы в качестве командного центра (C2). Это позволило злоумышленникам маскировать свою активность под легитимные сервисы организации. APT41 давно известна как китайскоязычная группа, специализирующаяся на атаках на телекоммуникационные компании, энергетический сектор, образовательные учреждения и IT-компании. Однако до недавнего времени активность группировки в Африке была минимальной, что делает эту атаку особенно значимой.

Технический анализ атаки

Первые признаки компрометации были обнаружены благодаря подозрительной активности на рабочих станциях, где использовался модуль WmiExec из набора инструментов Impacket. Аналитики заметили цепочку процессов svchost.exe → exe → cmd.exe, а также запись результатов команд в файлы на административной сетевой папке. Имена этих файлов состояли из чисел, разделенных точками, что характерно для автоматизированных атак.

Злоумышленники также применяли модуль Atexec из того же набора Impacket, создавая задачи в планировщике Windows для проверки доступности C2-сервера. Интересно, что они тестировали подключение как напрямую через интернет, так и через внутренний прокси-сервер организации, что свидетельствует о глубоком понимании инфраструктуры жертвы.

Изначально источник активности оставался неизвестным, так как зараженный хост не был подключен к системам мониторинга. Позже выяснилось, что это был веб-сервер IIS, на котором остались следы веб-шелла. Этот шелл, обнаруженный как HEUR:Backdoor.MSIL.WebShell.gen, использовался для проксирования трафика из внешней сети через временные файлы ASP.NET.

Эскалация привилегий и перемещение внутри сети

После первоначального проникновения APT41 приостановила активность, но вскоре возобновила атаку, сосредоточившись на сборе информации о процессах и открытых портах. Злоумышленники использовали команды для дампа системных реестров SAM и SYSTEM, что позволило им получить учетные данные домена. К сожалению, не все хосты были защищены, и атакующие успешно использовали украденные данные для продвижения по сети.

Особую опасность представляли две учетные записи: одна с правами локального администратора на всех рабочих станциях, а другая - с привилегиями администратора домена. Это позволило APT41 распространять инструменты, такие как Cobalt Strike и кастомный агент, через административные сетевые папки. Вредоносные файлы размещались в различных директориях, включая C:\Windows\Tasks\ и C:\ProgramData\, а запускались удаленно через WMI.

Cobalt Strike и кастомные агенты

Для управления зараженными системами APT41 активно использовала Cobalt Strike, распространяя его в зашифрованном виде с расширениями TXT или INI. Дешифровка выполнялась через DLL sideloading - метод, при котором злонамеренный код внедряется в легитимные приложения. Например, файл cookie_exporter.exe из Microsoft Edge использовался для загрузки модифицированной библиотеки msedge.dll, которая, в свою очередь, расшифровывала и запускала вредоносную нагрузку из файла Logs.txt.

Кроме того, группа развернула специализированных агентов (agents.exe и agentx.exe), которые взаимодействовали с компрометированным SharePoint-сервером через веб-шелл CommandHandler.aspx. Эти трояны выполняли команды и собирали конфиденциальные данные, включая историю браузеров, документы и учетные записи.

Сбор данных и ошибки атакующих

APT41 также применяла автоматизированные инструменты для кражи информации, такие как модифицированная версия утилиты Pillager, которая извлекала сохраненные пароли, исходный код проектов и данные сессий SSH. Другой стеалер, Checkout, фокусировался на банковских данных и истории загрузок.

Любопытно, что злоумышленники допустили несколько ошибок. Например, при недоступности веб-шелла CommandHandler.aspx их агент пытался выполнить сообщение об ошибке как команду, что выдавало присутствие вредоносного кода. Кроме того, некоторые скрипты, загружаемые с поддельного домена github.githubassets.net, оказались безвредными, что могло быть попыткой затруднить анализ.

Выводы и рекомендации

Эта атака демонстрирует высокий уровень адаптивности APT41, которая использует как публичные, так и кастомные инструменты, подстраиваясь под инфраструктуру жертвы. Ключевыми уроками для организаций стали:

• Необходимость полного покрытия инфраструктуры системами мониторинга.
• Важность ограничения привилегий учетных записей, особенно тех, которые используются на множестве хостов.
• Регулярный аудит безопасности для выявления уязвимостей в таких сервисах, как SharePoint и веб-приложения.

Хотя в данном случае атака была пресечена, подобные инциденты подчеркивают, что даже одна незащищенная система может стать точкой входа для масштабной компрометации. Борьба с такими угрозами требует не только технологических решений, но и постоянного повышения осведомленности сотрудников о методах социальной инженерии и фишинга, которые часто используются APT41 на начальных этапах атак.

IPv4

• 38.175.195.13
• 47.238.184.9

Domains

• *.ns1.s3-azure.com
• *.ns2.s3-azure.com
• msn-microsoft.org
• s3-azure.com
• upload-microsoft.com

URLs

• http://ap-northeast-1.s3-azure.com
• http://asd.xkx3.callback.red
• http://chyedweeyaxkavyccenwjvqrsgvyj0o1y.oast.fun/aaa
• http://github.githubassets.net/okaqbfk867hmx2tvqxhc8zyq9fy694gf/hta
• http://toun.callback.red/aaa
• http://www.upload-microsoft.com
• https://www.msn-microsoft.org:2053

MD5

• 100b463eff8295ba617d3ad6df5325c6
• 125b257520d16d759b112399c3cd1466
• 15097a32b515d10ad6d793d2d820f2a8
• 27f506b198e7f5530c649b6e4860c958
• 2cd15977b72d5d74fadedfde2ce8934f
• 2f9d2d8c4f2c50cc4d2e156b9985e7ca
• 3021c9bca4ef3aa672461ecadc4718e6
• 3af014db9be1a04e8b312b55d4479f69
• 4708a2ae3a5f008c87e68ed04a081f18
• 740d6eb97329944d82317849f9bbd633
• 91d10c25497cadb7249d47ae8ec94766
• 9b00b6f93b70f09d8b35fa9a22b3cba1
• 9b4f0f94133650b19474af6b5709e773
• 9d53a0336acfb9e4df11162ccf7383a0
• a052536e671c513221f788de2e62316c
• a236dce873845ba4d3ccd8d5a4e1aefd
• c149252a0a3b1f5724fd76f704a1e0af
• c3ed337e2891736db6334a5f1d37dc0f
• c7188c39b5c53ecbd3aec77a856ddf0c
• f1025fcad036aad8bf124df8c9650bbc