Китайская хакерская группа Jewelbug расширяет географию атак, включив в неё Россию

Атакующие получили доступ к репозиториям исходного кода и системам сборки программного обеспечения, что потенциально позволяло им осуществить атаку на цепочку поставок, нацеленную на клиентов компании в России. Важным аспектом является то, что злоумышленники использовали для вывода данных облачный сервис Yandex Cloud. Поскольку Yandex является популярным и легитимным сервисом в России, его использование помогает избежать подозрений со стороны систем безопасности.

В рамках другой операции в июле 2025 года против крупного государственного ведомства в Южной Америке Jewelbug внедрила новый бэкдор, который, по всей видимости, находится на стадии разработки самой группой. Группировка также скомпрометировала сеть тайваньской компании и другого IT-провайдера в Южной Азии. Однако атака на российскую компанию выделяется на общем фоне, поскольку китайские и российские Threat Actor (субъекты угроз) до недавнего времени редко атаковали друг друга. Действия Jewelbug продолжают тренд, который, судя по всему, начался после вторжения России в Украину.

Атака на российского IT-провайдера

Первой подозрительной активностью в этой сети стало появление файла с именем 7zup.exe, который являлся переименованной копией легитимного подписанного Microsoft файла cdb.exe (Microsoft Console Debugger). Использование переименованной версии cdb.exe является характерным признаком активности Jewelbug. Этот инструмент может применяться для запуска шелл-кода, обхода белых списков приложений, запуска исполняемых файлов, загрузки DLL и даже остановки решений безопасности, что делает его мощным средством в руках злоумышленников. Microsoft рекомендует блокировать запуск CDB по умолчанию и разрешать его только конкретным пользователям при явной необходимости.

Другие действия на сети включали дамп учетных данных, достижение постоянства и повышение привилегий с помощью планировщика заданий (schtasks). Атакующие также пытались скрыть свою активность, очищая журналы событий Windows. Использование Yandex Cloud для вывода данных, вероятно, было попыткой оставаться незамеченными, так как этот сервис широко распространен в России и вряд ли блокируется российскими предприятиями. Для вывода данных жертвы использовался вредоносный образец, названный злоумышленниками «yandex2.exe».

Как упоминалось ранее, атакующие также нацеливались на компьютеры со системами сборки и репозиториями кода, потенциально стремясь использовать доступ к исходному коду для проведения атаки на цепочку поставок против клиентов компании в России. IT-провайдеры являются популярными целями для таких атак, поскольку они часто имеют обширный доступ к системам своих клиентов и могут автоматически развертывать обновления или программное обеспечение одновременно в большом количестве сетей, что потенциально дает атакующим доступ к огромному числу организаций одновременно. Судя по данным, злоумышленники могли находиться в сети продолжительное время: первые признаки подозрительной активности датируются январем 2025 года, а последняя - маем 2025 года.

Новый бэкдор, развернутый у южноамериканской жертвы

Jewelbug также скомпрометировала сеть, принадлежащую государственному департаменту в Южной Америке. Судя по всему, группировка неоднократно проникала в сеть или поддерживала в ней постоянное присутствие в течение длительного времени, поскольку первая подозрительная активность в этой организации была зафиксирована в сентябре 2024 года, а последняя - в июле 2025 года.

В активности за сентябрь 2024 года атакующие пытались добавить нового пользователя в сеть, а также развернуть инструмент удаленного доступа для получения контроля над машинами. Они также использовали легитимное программное обеспечение для удаленного управления AnyDesk и развернули архиватор 7-zip, который часто применяется для упаковки файлов перед их выводом с компьютеров жертв. В более поздней активности в июле 2025 года злоумышленники использовали легитимный исполняемый файл для сторонней загрузки DLL (DLL sideloading) и инструмент SMBExec, вероятно, для перемещения по сети. Они также использовали планировщик заданий для обеспечения постоянства, а инструменты BITSAdmin и curl - предположительно, для вывода данных.

Также в этой организации Jewelbug развернула то, что кажется новым бэкдором, находящимся в разработке у группировки. Это вредоносное ПО использует Microsoft Graph API и OneDrive в качестве своих командных серверов (C&C - Command and Control). Развернутое в сети жертвы вредоносное ПО, по-видимому, имеет некоторые проблемы и ограничения, что может указывать на его незавершенность или на неопытность разработчика. Однако среди наблюдаемых действий этого malware - получение списка файлов с целевых машин и их загрузка в OneDrive, ведение логов в файл C:\ProgramData\application.ini, создание скрытой директории C:\Users\Public\Libraries~ на машине жертвы, а также сбор IP-адреса, версии Windows и имени хоста зараженной машины, который также загружается в OneDrive.

Ведение логов этим вредоносным ПО примечательно, поскольку указывает на возможное «тестирование» его атакующими. Это также показывает, что Jewelbug продолжает разрабатывать новое вредоносное ПО. Использование Microsoft Graph API и OneDrive для C&C интересно тем, что минимизирует вредоносные индикаторы, наблюдаемые традиционным security-software (программным обеспечением безопасности), что делает такую активность значительно сложнее для обнаружения.

Техника BYOVD, использованная для атаки на тайваньскую софтверную компанию

Jewelbug также присутствовала в сети тайваньской софтверной компании в октябре и ноябре 2024 года. В отличие от более поздней активности против российского IT-провайдера, здесь не было доказательств мотивации, связанной с атакой на цепочку поставок. Злоумышленники использовали стороннюю загрузку DLL (DLL sideloading) для загрузки вредоносных нагрузок. Эта тактика очень популярна среди китайских threat groups (групп угроз). В этой сети также был развернут ShadowPad - мощный модульный бэкдор, эксклюзивно используемый китайскими субъектами угроз. Атакующие также применяли инструмент KillAV для отключения security-software, а также развернули публично доступный инструмент EchoDrv, который позволяет злоупотреблять уязвимостью чтения/записи в ядре в драйвере ECHOAC. Вероятно, это пример использования атакующими техники «принеси свой уязвимый драйвер» (BYOVD - Bring Your Own Vulnerable Driver) в попытке избежать обнаружения их вредоносной активности. Они также создавали scheduled tasks (запланированные задачи) для обеспечения постоянства.

Злоумышленники использовали LSASS и Mimikatz для дампа учетных данных, а также Fast Reverse Proxy, который может открывать локальные серверы для публичного интернета. Помимо этого, они развернули несколько публично доступных инструментов для разведки и повышения привилегий. Инструменты PrintNotifyPotato, Coerced Potato и Sweet Potato свободно доступны на GitHub. Атакующие также использовали публично доступный туннелирующий инструмент Earthworm в вероятной попытке маскировки команд или данных, отправляемых в сеть жертвы и из нее. Злоумышленники находились в этой сети примерно три недели, что свидетельствует об определенном мастерстве в сохранении скрытности.

На сетях как тайваньской софтверной компании, так и южноамериканского госагентства использовалась переименованная версия инструмента Microsoft Console Debugger (cdb.exe). Использование этого инструмента Jewelbug примечательно, так как он относительно малозаметен, несмотря на множество функций, полезных для злоумышленников. В одном из случаев также наблюдалась инъекция кода инструмента CDB в процесс mspaint.exe. Ранее уже документировалось использование Jewelbug процесса mspaint для инъекции вредоносного ПО.

Предпочтение Jewelbug в использовании облачных сервисов и других легитимных инструментов в своих операциях указывает на то, что для этой группы первостепенное значение имеют скрытность и установление незаметного и постоянного присутствия в сетях жертв.

Прошлая активность Jewelbug

Считается, что Jewelbug активна с середины 2023 года, когда связанные с ней бинарные файлы впервые были загружены на VirusTotal. Помимо атак, упомянутых в данном отчете, Jewelbug также связывали с атаками на организации в Юго-Восточной Азии, включая университет, телеком-компанию и правительственное министерство. До настоящего момента группировка ассоциировалась только с атаками на организации в Азии и Южной Америке, и ранее не было документально подтвержденных случаев таргетирования ею организаций в России. В блоге компании Elastic, выпущенном ранее в этом году, упоминалось, что атакующие Jewelbug использовали домен, имитирующий российскую организацию, но жертв в России в рамках той активности выявлено не было.

Тот же блог детализировал использование Jewelbug уникального вредоносного ПО под названием Finaldraft, Pathloader и Guidloader. Finaldraft - это многофункциональный инструмент удаленного администрирования с возможностью подключения дополнительных модулей. Pathloader и Guidloader - это вредоносные программы, используемые для загрузки и выполнения зашифрованного шелл-кода в памяти, и они наблюдались только в связке с Finaldraft.

Palo Alto также публиковала отчет о кастомном вредоносном ПО, используемом Jewelbug, хотя и называла бэкдор Finaldraft именем Squidoor. В отчете отмечалось, что Jewelbug получала доступ к сетям интереса, эксплуатируя различные уязвимости в серверах Internet Information Services (IIS) перед развертыванием веб-шеллов на зараженных серверах. Также сообщалось, что помимо использования Microsoft Graph API для C&C-коммуникации, атакующие использовали туннелирование через DNS и ICMP.

Предыдущие отчеты о Jewelbug также отмечали использование инструмента CDB, использование mspaint.exe для инъекции команд и широкое применение атакующими двойных и встроенных в операционную систему инструментов (Living off the Land), что также наблюдалось в недавней активности.

Все указания свидетельствуют о китайском происхождении Jewelbug, а ее мотивация, скорее всего, заключается в шпионаже и поддержании долгосрочного и скрытного присутствия в скомпрометированных сетях.

IPv4

• 95.164.5.209

Domains

• app.blance.workers.dev
• cdn.kindylib.info

SHA256

• 010f76b21251eb5d8bc77bcfdb47d5f13009aa985e744b843fc2e35b23fb2a44
• 015e424dc798bc4ef39f5237062d2402f5207fbf912a22ce6fb46ef9e42fd6ca
• 0642ada1f7c8b3cc43a1d69d6aa86fc1970e257271811e637b0e4349aa880fa8
• 078a3a2c4f24d8811bb1aa673790c16ad5ea563127af1a5d4a41c893b215c372
• 15eaa601b1bfb8cd7cd5513c692eea4ed4302f6fcbee4722433e0c85388de35d
• 259f65bcdd367e6d84a4cba75375744e85fbe58293c88b1ad5a1bee4add63b9d
• 267ae4d7767d9980b3fbbfd5063bd28d5e05d22d64615fe7532d55a6063dfeb3
• 37e83ffde09a83273a4cea7fe24d3fda63fb342e6a3512de4541d62ab43aadd0
• 3f49bd1f3b0999096511757e0fbc2e4e2c18176fd1773f71baf2d7a15dbbcfbf
• 5525c51063d40e12029d9ef4b646e261c853c655b9b2acc74a411428e873a8a1
• 5c396da8b64faf6e29ee38cdf0a4b9a652e01236d2b981c2ca806aa14d94c956
• 5c3f0420c00e6ca123790403b6ed1f53f493357dfdd54ed9460d615d57f6bcd4
• 67bb887a0f34543a32b845029be308f436704207a1964a2a3582f42fe6de4176
• 6d4d9b68d02e93e721943a6943cda6544bf4d31d109415774565b544b512ed25
• 872045fe5bea78e4daac4f0352028060b0fadccfbf0a40b57d405579821850bb
• 87ead55ff94b6cd9d80f590793d0dc17d9f5d442b6c827dcfb8db0c078918bd1
• 9f4b046e9f9dbc36b8df011a69490948dce5b9645fc5209b0b3a60dad5a493e6
• a1e45ec8639f55290a5eb47e9f75e6413b12eaa6f9e3834af600e00fe529a637
• b49e142b89c47757a0afb786bf0e6c11c9548f626c4127d4d16d30e3004bdfb1
• ba0dbee9538073fd81953a37218f200988ad91a8380e68118ea83e146e1d986d
• bc270539c6a057791fba4793dc7e2d2567070e50ea089cc6fa032b3285576c64
• bfe1538445e3f74ef7f41699482b40cf6f3b0a084e188f4c4b786b15eeb3601c
• cc87dee890641bd015a04e46a881eb844c774519d55b986fb216c4c2141479e8
• cffca467b6ff4dee8391c68650a53f4f3828a0b5a31a9aa501d2272b683205f9
• d5147787d52636a3c6c2a0c84b351633ad7f45ce4ae5c2007e568f715fec3e49