Эволюция угрозы: APT44 наращивает скрытность атак на критическую инфраструктуру с помощью модульных фреймворков

Активность группы прослеживается с 2009 года, и за это время она неоднократно подвергалась публичным разоблачениям и даже уголовным преследованиям со стороны властей разных стран. Тем не менее, это не привело к свёртыванию её операций. Напротив, APT44 демонстрирует высокую адаптивность и постоянное совершенствование тактик, техник и процедур (TTP). Если ранее её стиль можно было охарактеризовать как "удар на поражение" с целью вызвать немедленный сбой, то сейчас акцент сместился в сторону максимально незаметного длительного закрепления в системах жертвы для сбора стратегической информации.

Ключевым элементом этой новой стратегии стало использование модульного фреймворка, известного исследователям под названиями Tambur, Sumbur и Kalambur. Этот инструментарий представляет собой не единый вредоносный файл, а набор взаимосвязанных компонентов, каждый из которых отвечает за свою задачу: от первоначального проникновения до создания скрытых каналов управления и сбора данных. Подобная модульность делает атаку гибкой, позволяет обходить простые сигнатуры антивирусов и усложняет её анализ.

Начальная стадия компрометации по-прежнему часто опирается на социальную инженерию. Злоумышленники распространяют через каналы Telegram и специализированные форумы поддельные установочные образы популярного программного обеспечения, например, Microsoft Office. Внутри таких ISO-файлов, маскирующихся под взломанные или "активированные" версии, скрывается вредоносный код. Когда пользователь, соблазнившись возможностью бесплатно использовать дорогостоящий софт, запускает файл "auto.exe" или "setup.exe", на его компьютер тайно устанавливается первый компонент фреймворка - загрузчик, который инициирует дальнейшие этапы атаки.

После проникновения в систему активируются различные модули фреймворка. Один из них, Tambur, фокусируется на создании скрытых туннелей для удалённого доступа. Он использует легитимный системный SSH-клиент для установки обратного зашифрованного соединения с сервером управления злоумышленника. Это позволяет атакующему, находясь снаружи, получить доступ к внутренним службам жертвы, например, к удалённому рабочему столу (RDP), обходя межсетевые экраны. Для обеспечения постоянного присутствия модуль создаёт замаскированные под системные задачи планировщика, которые автоматически восстанавливают соединение при перезагрузке компьютера.

Более продвинутые итерации фреймворка, Kalambur и Sumbur, добавляют новые уровни скрытности и функциональности. Они активно используют сеть Tor для анонимизации трафика, взаимодействуя с командным центром через ".onion"-домены, что крайне затрудняет отслеживание. Кроме того, эти модули могут самостоятельно разворачивать на заражённой машине сервисы, такие как OpenSSH, превращая её в плацдарм для проникновения глубже в корпоративную сеть. Для управления они создают скрытые учётные записи с административными привилегиями и внедряют механизмы самоочистки, которые удаляют следы своей деятельности, сокращая окно для реагирования на инцидент.

Отдельного внимания заслуживает модуль DemiMur, который демонстрирует высокий уровень технической изощрённости. Его задача - подрыв базовых механизмов безопасности операционной системы. Модуль внедряет в хранилище доверенных корневых сертификатов Windows поддельный сертификат, выданный злоумышленниками. Это позволяет в будущем подписывать вредоносные компоненты так, чтобы система считала их легитимными. Более того, DemiMur может отключать защитные функции встроенного антивируса Microsoft Defender, добавляя критически важные системные каталоги в список исключений для сканирования, что создаёт "безопасную среду" для работы других вредоносных модулей.

Исследователи из 360 Advanced Threat Research Institute в своём отчёте указывают, что анализ инфраструктуры, используемой в этих атаках, выявил интересные закономерности. Так, злоумышленники применяют доменные имена с насмешливыми названиями, построенными по схеме "dontgive*" (например, dontgivedamn.com). Подобная семантическая связность, а также использование в коде слов, имеющих славянские корни, косвенно указывает на возможный регион происхождения или культурный контекст разработчиков инструментария. Эти детали, наряду с техническими совпадениями с прошлыми операциями, позволяют с умеренной степенью уверенности атрибутировать данную кампанию группе APT44.

Эволюция APT44 от громких диверсий к тихому, но глубокому шпионажу представляет собой серьёзный вызов для служб информационной безопасности. Традиционные периметровые защиты и сигнатурный анализ зачастую бессильны против атак, которые используют легитимные системные инструменты (Living off the Land) и сложные механизмы шифрования. Для защиты организациям, особенно из числа потенциальных целей - оборонного комплекса, энергетики и госсектора, необходимо сместить фокус на обнаружение аномалий в поведении. Критически важно усилить мониторинг сетевой активности, особенно исходящих SSH-соединений и подключений к анонимным сетям, тщательно аудитировать выполнение скриптов PowerShell, а также отслеживать изменения в системных настройках, таких как списки доверенных сертификатов или исключения в антивирусном ПО. Борьба с такими продвинутыми угрозами требует не просто установки защитных средств, а построения целостной системы киберустойчивости, основанной на глубокой аналитике и постоянной охоте за угрозами.

IPv4 Port Combinations

• 146.59.116.226:50845
• 57.128.59.134:24102

Domains

• dontgivedamn.com
• dontgivefuck.com
• kalambur.net
• massgrave.link
• sumbur.net

Onion Domains

• 2zilmiystfbjib2k4hvhpnv2uhni4ax5ce4xlpb7swkjimfnszxbkaid.onion
• i2rgcvog6cypjohfzfzw3d5kqgoobkzlbchsdxx4gm7lyaxn5nfp6bid.onion
• n6b6j4vlkc4ak343j4fmuwmosxtwrft6bph5s5562lefji4a475smuad.onion

MD5

• 620221e4c78e8df6f0ce4d489c15dffb
• 7eddf8cbe7e2bfb750cdd503eb912557
• 8295b1fac6535f4444a9d477c4225942
• 96a9321deca6717db13bd5db8d3abba5
• b57299c00a0991036a96ab4bf5928134
• deac8223ed9fc5e0a9adbc01abbe30cb