Специалисты компании Oasis Security выявили масштабную целевую кампанию против нескольких малайзийских организаций. Злоумышленники задействовали виртуальную машину в облаке Microsoft Azure, расположенную в регионе Западная Малайзия (Куала-Лумпур). Эта инфраструктура стала командным центром для проведения сложных атак на государственные порталы и одного оператора мобильной связи. Исследователи подчеркивают: операция демонстрирует исключительно высокий уровень планирования и технической подготовки.
Описание
С самого начала кампании авторы угрозы действовали не как типичные киберпреступники. Для каждой жертвы они создавали отдельные скрипты на Python. Эти программы предназначались для разведки внутренней сети, доступа к базам данных и последующей кражи информации. Вся цепочка атак выглядит продуманной и модульной.
Атакующая сторона арендовала вычислительные ресурсы у Microsoft Azure. IP-адрес управляющего сервера - 20.17.161[.]118. Хостинг-провайдер - Microsoft (AS8075), регион - Малайзия Западная. Важно отметить, что эта зона стала общедоступной лишь в мае 2025 года. Таким образом, нападающие явно воспользовались свежей инфраструктурой, чтобы усложнить отслеживание.
На сервере злоумышленников исследователи накопили значительный архив файлов. Среди них - целевые Python-скрипты, инструменты для развертывания веб-шеллов, цепочка эксплойтов для фреймворка Laravel, а также исходный код собственного программного обеспечения для управления ботами (C2).
Проникновение в правительственные сети
Первым подтвержденным объектом атаки стал внутренний сегмент государственного домена e[REDACTED].gov.my. Этот портал обеспечивает административные функции правительства Малайзии. Для взлома внутренней сети преступники подготовили как минимум три специальных скрипта.
Например, файл analyze_[REDACTED].py использовал сеанс WinRM (удаленного управления Windows) с правами администратора и встроенными учетными данными к базе данных MSSQL. Через этот скрипт выполнялись команды PowerShell для прямого запроса к внутреннему серверу баз данных. Другой скрипт, asset_owner_check.py, проверял целостность файлов, определял размер архивов и готовил сжатые наборы данных для последующего выноса. Третий, check_cophoto.py, с помощью тех же встроенных учеток извлекал записи о фотографиях и проверял типы столбцов.
Это говорит о том, что злоумышленники тщательно изучили инфраструктуру жертвы и подготовили код для каждого конкретного этапа: от сбора сведений до прямой выгрузки данных.
Атака не ограничилась одной сетью. Отдельная группа скриптов предназначалась для портала h[REDACTED].e[REDACTED].gov.my. Один из них, h[REDACTED]_alt_creds.py, взаимодействовал с уязвимым HTTP-эндпоинтом rpc.asp. Через этот интерфейс преступники отправляли HTTP POST-запросы с закодированными командами на языке VBScript, которые затем выполнялись на сервере через объект WScript.Shell. Так достигалось удаленное выполнение кода.
Для этой же цели использовался скрипт deploy.py, который содержал URL для внешнего RPC-сервера (удаленного вызова процедур). Таким образом, команды отдавались из-за пределов сети жертвы, что снижало заметность трафика.
Кража данных через облачное хранилище
Для выноса похищенной информации злоумышленники подготовили скрипт gen_photo_upload.py. Он отправлял файлы на внешнее хранилище, размещенное на платформе Cloudflare. Это стандартная техника, при которой украденные данные передаются на легитимный облачный сервис, чтобы не вызывать подозрений у систем мониторинга.
Наиболее серьезным подтверждением успешной кражи стали файлы, найденные на инфраструктуре нападающих. С портала j[REDACTED].gov.my, официального портала одного из административных органов Малайзии, были выгружены реестры Windows (SAM, SECURITY, SYSTEM), снятые с контроллера домена. Владея этими тремя файлами, можно извлечь хэши паролей локальных учетных записей и LSA Secrets (секреты локальной системы безопасности) с помощью таких инструментов, как impacket-secretsdump или Mimikatz.
Более того, на том же контроллере домена был выполнен дамп базы данных Active Directory - NTDS. Файл j[REDACTED]_dc_dump.ntds содержал хэши паролей всех пользователей домена. Это означает, что злоумышленники не просто просканировали систему, а реально извлекли доменные учетные данные. Полученные хэши дают им возможность сохранять постоянный доступ к сети, перемещаться между компьютерами и развивать атаку дальше.
Живой веб-шелл и эксплойт для Laravel
Для другого малайзийского государственного портала r[REDACTED].gov.my была написана программа shell21.py на Python. Она загружала PHP-веб-шелл с именем health.php на целевой сервер. На момент анализа исследователи подтвердили, что веб-шелл был активен. Это обеспечивало атакующим персистентный (постоянный) канал удаленного выполнения команд.
Кроме того, в арсенале нашелся сложный эксплойт для фреймворка Laravel. Файл laravel_rce.php нацеливался на платформу верификации личности клиентов малайзийского виртуального оператора мобильной связи. Эксплойт состоял из пяти последовательных гаджет-цепей, генерируемых утилитой PHPGGC. Каждая цепочка создавала сериализованную полезную нагрузку, зашифрованную по алгоритму AES-256-CBC. Ключом шифрования служил APP_KEY из конфигурации Laravel. Это позволило обойти проверки десериализации и выполнить произвольные системные команды.
Собственный C2-фреймворк - признак высокого уровня
Пожалуй, самой редкой находкой стало обнаружение исходного кода неопубликованного бэкдора и центра управления. В отчёте Oasis Security подробно описывается код beacon.cs - это генератор бэкдора на C#. Он не является публично известным или коммерческим продуктом. Атакующие разработали его самостоятельно, с собственной логикой связи и конфигурацией.
В паре с ним работал listener_http.py - HTTP-сервер на Python, который принимал и обрабатывал сигналы от развернутых бэкдоров. Такой частный C2-каркас позволяет злоумышленникам действовать вне поля зрения систем, которые ищут типовые вредоносные программы. Это указывает на зрелого и хорошо оснащенного противника.
Последствия и рекомендации
Кампания явно продолжается. Как минимум на одном сервере остается активный веб-шелл. Утекшие хэши паролей домена позволяют преступникам восстанавливать доступ после смены паролей - если не будут сброшены учетные записи всех пользователей. Злоумышленники проявили высокую дисциплину: для каждой цели готовился отдельный набор скриптов, а кража данных проводилась в облачные хранилища.
Организациям, которые могли пострадать от подобных атак, следует немедленно провести ревизию веб-приложений, удалить все подозрительные файлы, особенно веб-шеллы. Необходимо полностью сбросить пароли всех доменных учетных записей, а также изменить ключи шифрования приложений, работающих на фреймворке Laravel. Важно изучить логи удаленного доступа и выявить необычные сеансы WinRM изнутри сети. Только комплексные меры помогут исключить возможность повторного проникновения и ограничить уже достигнутый преступниками доступ.
Индикаторы компрометации
IPv4
- 20.17.161.118
