Кибершпионы APT31 атаковали российский IT-сектор с использованием облачных сервисов

По данным экспертов по кибербезопасности, атаки были направлены преимущественно на компании, работающие подрядчиками и интеграторами решений для государственных органов. Злоумышленники демонстрировали глубокое понимание рабочих процессов в целевых организациях, планируя активность на выходные и праздничные дни. Например, масштабное проникновение было инициировано во время новогодних каникул, когда корпоративная инфраструктура продолжала функционировать в автоматическом режиме при сокращенном штате специалистов.

Тактики и инструменты атаки

Группировка использовала разнообразный арсенал вредоносных программ, включая как модифицированные версии известных инструментов, так и совершенно новые разработки. Среди ключевых образцов выделяются AufTime, COFFProxy, VtChatter, YaLeak, CloudyLoader и OneDriveDoor. При этом злоумышленники применяли технику маскировки под легитимное программное обеспечение, что значительно затрудняло обнаружение угрозы.

Начальная стадия компрометации часто осуществлялась через фишинговые рассылки с вредоносными архивами. Например, в декабре 2024 года использовалось письмо от имени менеджера по закупкам с вложением "Требования.rar". Запуск LNK-файла инициировал сложную цепочку действий, включая показ документов-приманок и загрузку CloudyLoader через технику DLL sideloading.

Инновационные методы управления

Особенностью кампании стало активное использование легитимных веб-сервисов для создания каналов управления. Злоумышленники размещали зашифрованные команды в профилях социальных сетей и на различных интернет-платформах, что позволяло обходить традиционные системы безопасности. Трафик к таким ресурсам обычно не вызывает подозрений у средств защиты периметра.

Для скрытного туннелирования данных применялись легитимные инструменты Tailscale VPN и Microsoft Dev Tunnels. Последний особенно интересен тем, что использует доверенные домены Microsoft и не требует открытия входящих портов на корпоративном брандмауэре. Это обеспечивало злоумышленникам устойчивый доступ к внутренним службам, включая RDP и веб-серверы.

Техники сохранения доступа

Для закрепления в инфраструктуре APT31 использовала планировщик задач Windows с именами, имитирующими легитимные системные процессы. Среди замаскированных задач фигурировали YandexDisk, GoogleUpdater, NVIDIA и другие названия, не вызывающие подозрений. На некоторых хостах применялась усовершенствованная техника создания скрытых задач путем удаления дескрипторов безопасности из реестра и соответствующих XML-файлов.

Интересный метод выполнения полезной нагрузки был связан с эксплуатацией системного процесса Setup.exe. Злоумышленники настраивали задание на запуск этого файла с параметром /ui, что вызывало ошибку и последующий запуск CMD-скрипта ErrorHandler.cmd с вредоносным содержимым.

Сбор информации и перемещение

Для разведки в корпоративной сети использовались специализированные инструменты, включая SharpADUserIP для извлечения данных о пользователях и PowerShell-скрипты для анализа RDP-подключений. Сетевое сканирование осуществлялось с помощью Advanced IP Scanner, а для сбора учетных данных применялись модифицированные версии Mimikatz и инструменты из набора Impacket.

Обнаруженный вредоносный модуль для IIS, получивший название OWOWA, демонстрирует sophistication атакующих. Модуль перехватывал учетные данные пользователей Outlook on the web, мониторя HTTP-запросы на странице авторизации. При этом злоумышленники оставили себе возможность удаленного управления собранными данными через специальные URL-пути.

Характеристики основных вредоносных программ

LocalPlugx работал в режиме сервера, прослушивая порты 53 и 5355, и использовал технику внедрения кода в системные процессы. Важной особенностью стала реализация кейлоггера, который записывал не только нажатия клавиш, но и содержимое буфера обмена. Анализ этих данных показал, что злоумышленники действовали по заранее составленному сценарию, копируя команды из буфера обмена.

CloudSorcerer демонстрирует эволюцию подхода к управлению, используя открытые источники для получения зашифрованных сообщений с токенами облачных сервисов. В качестве C2 применялись cloud-api.yandex.net, graph.microsoft.com и content.dropboxapi.com.

VtChatter использовал инновационный подход к коммуникации, размещая команды в комментариях к файлам на VirusTotal. Это создавало устойчивый канал управления, практически не обнаруживаемый традиционными средствами защиты.

Эксфильтрация данных

Для вывода конфиденциальной информации применялся специализированный инструмент YaLeak, разработанный на .NET. Он рекурсивно обходил указанные каталоги и загружал файлы в облачное хранилище Яндекса через официальное API. После успешной загрузки файлы удалялись с компрометированной системы.

Выводы и рекомендации

Деятельность группировки APT31 демонстрирует продолжающуюся эволюцию методов кибершпионажа. Использование легитимных облачных сервисов и социальных платформ для управления инфраструктурой представляет серьезную проблему для традиционных систем безопасности. Российский IT-сектор, особенно компании, работающие с государственными заказчиками, остается приоритетной целью для таких атак.

Специалисты по безопасности рекомендуют усилить мониторинг нестандартного использования облачных сервисов, обращать внимание на аномальную активность в нерабочее время и внедрять решения для обнаружения атак, основанные на поведенческом анализе. Кроме того, критически важным становится контроль за использованием легитимных инструментов удаленного доступа и туннелирования в корпоративной среде.

IPv4 Port Combinations

• 89.23.113.44:80

Domains

• linuxsecuritycont.com
• moeodincovo.com
• rttvnews.com
• rttvnews.ru
• sohbetturke.com
• www.rttvnews.com

URLs

• https://github.com/Range1992/scrcpyClone/raw/refs/heads/master/app/deps/PersonalizationCSP
• https://raw.githubusercontent.com/Range1992/scrcpyClone/refs/heads/master/app/data/zsh-completion/_scrcpy
• https://www.virustotal.com/gui/file/90d2d1af406bdca41b14c303e6525dfc65565883bf2d4bf76330aa37db69eceb/community
• https://www.virustotal.com/gui/file/f506898cc7c2e092f9eb9fadae7ba50383f5b46a2a4fe5597dbb553a78981268/community

MD5

• 055736a8a5c22e188d3489a2b35d58ac
• 05727966a3abae69de58e479e1457d6e
• 2cc5f36265b5f1858dc13f0044dba0b7
• 41007786ecd257f5cb0ed3083fb31181
• 42601c72e07ca1214bfa864888c79efa
• 45ed8f3681f45024d0f236b0d7f72e0e
• 4ff74b8722b82970c6ed33eb6fc4c092
• 547c897644f770a682a548abe79aef65
• 687dc4657c9f34958743d09f34fa6315
• 6eefa91fa15ed7c552d638f9498d2077
• 76971d6f2d7854fe562853d7b2232b7d
• 89d423ec2eee59671929f7b79f244917
• 98b8d7298c4dde41ec929e2555d11592
• 99f560878fa328f85e5d62fe9e4da6a2
• 9c719435fc6aa0b0f82cf2af5dbb7025
• 9febbbdc0a3e2fbc2e44ab88ace9f83a
• a2fabe969f1742a4eb538a2d2aa5baa8
• a61061ab22d05499615636f576e00544
• a6eb49858d8db610dd33e774ba82a59a
• c59982c4284cac7f04287551c71bdcd4
• ca3820abd0331090c77116e2941f7b99
• d38277f391422f8688aba67b099066aa
• d6be7e21be054f3d63af6cea336db61a
• dd0a68f636a2b68501c2131e7a1537ef
• e46cb20927fe23636ae9b9c33832eb5f

SHA1

• 11f992d231800861fc27870489bee663edf28bc3
• 1cc26a1c5d8e9d252bfc9462579921aa0b2a3fb0
• 223c9bd2434a2e5ffb8efb6c0ff616992d28fd3c
• 24ee50531bfebcc26417d7f60d3c2a55d3630871
• 29b8032e1c617590672e4e212c1d22d9b4418569
• 328fd5f02fe56852c95d9fc05811f594300d8f4c
• 3445a4ed2b141dd51baf9706bef425f2f1f6dde8
• 38afd583b00ce71c28251092e74d8180d1a69ab7
• 3d6b8b76d459193356d9ff9e78fa02bd5ccbe4eb
• 43cdeb460b85ed91438053b12ad9d6aa039a69c0
• 4b5494f6d100d32f0f1de79ba73b045a5f9c0750
• 515aa32a29330310c3a20877cfba0168e4c7fe61
• 54cf4faea4ca45bbd115e74bf3dd60e53b75d2ab
• 65925802ac80899635534ae4e3487be3a2543a73
• 7cb32dec5db6036f6a47e987d1e9f2bf121a261f
• 7e2e92facbe6fca73e6e97bc970c553480a4ea55
• 866b26874e388417d55cde5094831ed4c5beaed5
• 87bbef413cd5bcd9b4dcb147d87fe9063cf7544f
• 9b4038973707d530d9cc61514c8a8bbd9e3fa3f9
• a5260e6d886565d316b1ee590d1b9a936da66041
• afce88211b06a01c2a71051bc1eb1d8f8c219d68
• b49a3d0f6f1af2d12d96a38a90f4c656c61ffdeb
• bfd055715c3de2d88b20db88fd0cc3b822db9c8f
• c297294e263683ca74c831da788e452392b83ac1
• d7c6b70931956b426b2a9b0f821b8d5282803551

SHA256

• 01ff16adb887df8b738176fab06d68db137f37df952958211c2438d5c90b4dcf
• 06371d092f721c31a4040c29aff821763a4c5139455773399eadd146c6a2007a
• 07eb25fbc4310bcb875d53ed77e5e2fdcbdd032f545931a5e5c9152078d03570
• 0a9f14cc2a24907cbd63a54c8aa54d7981f4e0f0e880b982365c1b83a588acf8
• 1f5e377bdcc92c44e4aab816758560b07ac98003cbe0fb93960c1d710972bb7f
• 2a0d7e8670df1c15dcab367f485a1cb26f1ff9c1e9e60112c51de7012b5c52a9
• 2ad8c7d81188618cbc48d5de3ed2c49cba5db8a8cbb636bf4854ac476ddc4995
• 2f675c6ff69d48891f2a22337a8f04492e734948bab8d90a8d05e79d88f00cde
• 3356a7d25096e24afe3409540a06f42b2b5012e55a8cad3f6ee06ec13e3471a5
• 3a1b0d60f55e2222490788ee082439b50e412dc0b49ac0169a77c07ba0a629f9
• 3e67d3f3ead9141cd3b3b4916492b0a42075c9575369b43c365335ae36aaa9c1
• 4faacec1aad27a95e6102790571fb7c5a9bf31d0d8bba3b67def0b8884a7035d
• 50bd08ac1fe9cea89b8da01fb0b1d2bb18592a1053414b3cac70f5fffb3b4ad3
• 61e2190c60fa9ff47d3e6b9fbacaa31829e39180da83b0d507c35066a741c641
• 761831a0ceeba7a71ef9c0d00c267bbf70847b61b6b92c0f523f8830df3ef54a
• 81741bcb105837d15925a0b7915f512d7550c61d42a9650616579b0993814f74
• 879949e6d70f2d7e21c489552240b13f927fa9586ef7a9343fa07741248860f3
• 88515172020b8472c1b61e7b1993b38a3f40b2744760cbee35b7c6b85aefb638
• 885e27877df42e65c72f98b10387397b0b14eaa365b2e597ba278b586936327a
• 97c13002881cdd8f8703f963b5fc7ea9aa1083efab90a367a9d3b5f6fb162d16
• 9d8060dc7c78b586473f4793db3571e9d1702ed3be412fe36b7ff46a33112d67
• abc7a384ee56c46ada41c9b2d4f1769a7fd47cf4c0aaf9187a85615ce9f33631
• c74b6e6056bf61b6223d4ffc5adfb7ddc9ea12dc2211f3c78cf69ac0397d5f88
• c89151c2068f4b7270ca240f8a1dfcd7203fa20d688d2b29734af03a2cc3ef55
• f6a2a3b24b4e33a74b0606c3e147eb5fcb00910789813f446d2abb97f76b6e8c