Китайская хакерская группа годами незаметно атакует критическую инфраструктуру Азии, используя открытый софт и простые скрипты

Особенностью данной группы является её прагматичный подход: вместо сложных уникальных вредоносных программ злоумышленники активно используют модифицированные открытые утилиты, инструменты, популярные в китайскоязычном хакерском сообществе, и стандартные системные бинарные файлы (так называемая техника living-off-the-land или LOLBIN). Это не только снижает затраты на разработку, но и помогает маскировать вредоносную активность под легитимные процессы, затрудняя обнаружение системами защиты. В частности, в разных кампаниях наблюдалось использование веб-шеллов GodZilla и AntSword, туннелирующего инструмента Fast Reverse Proxy (FRP), а также бэкдора для Linux под названием Xnote.

Первоначальное закрепление в системе часто достигается через размещение веб-шеллов на уязвимых серверах. После получения доступа злоумышленники приступают к разведке и краже данных. Одной из излюбленных техник является хищение файлов конфигурации из каталогов веб-серверов, таких как "web.config" или "appsettings.json". Эти файлы могут содержать учётные данные для баз данных или другую чувствительную информацию, открывающую путь для горизонтального перемещения по сети. Для вывода данных используется простая, но эффективная методика: архивирование файлов с помощью WinRAR, последующее кодирование архива в формат Base64 с помощью системной утилиты "certutil" и вывод текстового содержимого прямо в окно веб-шелла. Это позволяет избежать загрузки файлов на сервер, что могло бы вызвать подозрения.

Исследователи отмечают, что группа демонстрирует кроссплатформенные возможности, имея в арсенале инструменты как для Windows, так и для Linux. Например, для сканирования сетей используется собственный сканер ScanPortPlus, написанный на Go и скомпилированный под обе операционные системы. Для скрытного выполнения своих инструментов злоумышленники применяют технику подмены DLL (DLL side-loading). Они помещают в систему легитимный исполняемый файл Python ("python.exe") вместе со зловредной библиотекой с похожим именем (например, "python20.dll"). При запуске настоящего Python вредоносная DLL загружается в память и, в свою очередь, расшифровывает и исполняет конечную полезную нагрузку, такую как тот же ScanPortPlus или туннелирующий клиент FRP.

Анализ кастомной версии FRP выявил любопытные детали, указывающие на происхождение группы. В конфигурациях использовался уникальный токен аутентификации «frpforzhangwei» («frp для Чжан Вэя»), где Чжан Вэй - распространённое китайское имя. Пароль во всех образцах был одинаковым и содержал ненормативную лексику. Эти артефакты, наряду с использованием инструментов, впервые опубликованных на китайских форумах по безопасности, таких как Kanxue, укрепляют уверенность в китайской атрибуции.

Важной частью деятельности группы является кража учётных данных. Помимо классического инструмента Mimikatz, злоумышленники применяли утилиту LsaRecorder, которая перехватывает пароли при входе в систему, а также комбинацию инструментов DumpIt и фреймворка Volatility для дампа и анализа памяти с целью извлечения хэшей паролей. Для хищения сохранённых паролей из Microsoft SQL Server Management Studio использовался специализированный «SQL Server Management Studio Password Export Tool», найденный на китайском блоге.

Эволюция инструментария группы также показательна. Если в 2020 году для сбора информации о системе использовался кастомный .NET-инструмент SuperDump, то в более поздних атаках он был заменён на простые, но эффективные пакетные скрипты (".bat"-файлы) с именами вроде "hp.bat" или "hpp.bat". Эти скрипты автоматически собирают данные о системе, запущенных процессах, сетевых настройках и установленном программном обеспечении, после чего упаковывают результаты в архив для последующего вывода.

Хотя основной мотив деятельности CL-UNK-1068 выглядит как шпионаж в интересах государства, исследователи пока не исключают полностью и киберкриминальную составляющую. Однако фокус на критической инфраструктуре и государственных организациях, а также долгосрочный, целенаправленный характер атак склоняют чашу весов в сторону деятельности, направленной на сбор разведданных. Успех группы на протяжении нескольких лет подчёркивает опасность, которую представляют собой даже относительно простые, но хорошо спланированные и методично исполняемые кампании, особенно когда они нацелены на сложные и жизненно важные объекты. Защита от подобных угроз требует комплексного подхода, включающего не только своевременное обновление ПО и применение средств защиты конечных точек (EDR), но и мониторинг аномальной активности, особенно связанной с использованием легитимных административных инструментов и скриптов.

IPv4

• 107.148.130.22
• 107.148.33.60
• 107.148.51.251
• 13.250.108.65
• 43.255.189.67
• 52.77.253.4
• 79.141.169.123

SHA256

• 082a55731f972cd15e103104229a68175a8c59a52bae05daa8ed4302df7c2dec
• 0c7db12ec29f333bf5f53dc5c73ec446b2265fca3aad5144c3569409e15123cb
• 0d03934eb181c2befbc5341208c4eb8f939e00382ac632216397b8210225c937
• 26483f0886078cc9f5f9912d3ffce1301e297b435920ab1c86c9107bbdce4db2
• 3b2b6a3ee023dfa168f257b292a28f5fbdbacb5aa2250e1efb36e650529db1b5
• 3e698c85660e2c012b3db7f47ca3f2b1af2b6b0e0a0d2bdb7903f91cf9d31732
• 524734501be19e9ed1bfab304b0622a2263a4f9e3db0971f3fae93f7e7369c20
• 52c817465a56ccd0fb4e914a3274a9e9a93e872583e6239bc6461e4f3e40c567
• 5c986203242e2ed25458b0606ee7be57070f6d66b7472b453d92b1b6786443bd
• 6ddbfd3a96834087501f0c9415a925cafdb92cb8ff34685f138833b4795416d6
• 8a3345f0d8f1a7d78ea485ae11358cf2ae3d51cb7975524d6d67ba05a08a37ea
• 8af434c2af2d901694cb27ec8639e7054f84938110a5cc4492c1bac597026d50
• 8d3907d56b1dd1609053cb55dd66f33499e1ea091133df76d8fe6f08f25f37b2
• 96f52e4666aa8df67f8d7d00a523cd25e11402108157156775603b3d9514925c
• 99bd09e1c500866b2b809fd9170f1b8b7e120da21a1f2eed6165fcf81bf519b7
• b87cee18720c176c1972cf5c74e3c09877177e0c49c34a04b910bb3c70839b71
• c880936ba0ca153719c2cca33c1925a9480d28abc88cf4daa02f34cc8cc1c9e5
• cdb90179188a142d24147edcb72be8b574fac4f6833fff15a6ee803754dec0c0
• ce20c033dcadf17d9cca325869f946efdd82ab0756fa56e262b6f573252d457c
• cfcbb3014ecc560ba36103213b36fc62d6b0ef22c49067ff0d860fd7253a7c94
• cfdcbc553bc7464aedfb6758b0a38acc78d9537eabe9717e60ab0d8d3b355225
• d6ed94589b0e6a7c3e1a6052e18f3962ca78c385c78036972d5ea72c07a5772c
• d8378cf105146217e6ded438187c4ea0edcadb6cf27f5eeddda3fd80cce76d72
• e1ff808321ce952384b7fff720584c48ec0fd36480d6bc9ac0d5db036102c368
• e9541e8afa502e13c18734756270b10e3c07f1071283387e63c8f8b0ba591343
• edc0287da3c6bb62a7b2fd3949be5688628fc0e893b5822bd5734a63c39f7ab1
• f6ac9e5e76bc9daf4772c5be43c9eac1d2611caafd49fac70bbb8eebfa4781ac
• f710dc61c2edc85841fd733a17b7977dfb889d6476c59bb3c54a5b2fd393ac13
• f7c73b1ac9aff545b184ec7121f2bc706c5064dc3c17f59e9a39469031bf2ef6
• fb9400d763a009b3bd2b9468410e0c69ee8a4f58400e532f086cef749422210d