Главная страница » Индикаторы компрометации
0
6 часов
Индикаторы компрометации

Китайская хакерская группа Salt Typhoon атаковала европейского телеком-оператора

APT

Китайская хакерская группа Advanced Persistent Threat (APT) под названием Salt Typhoon провела целенаправленную атаку на европейскую телекоммуникационную компанию, используя сложные методы для проникновения в критическую инфраструктуру. Об этом свидетельствуют данные, полученные от компании Darktrace, которая зафиксировала активность злоумышленников в начале июля 2025 года.

Описание

Группа Salt Typhoon, также известная как Earth Estries, GhostEmperor, FamousSparrow и UNC2286, связана с Министерством государственной безопасности Китая и ведет киберразведывательные операции с 2019 года. По данным аналитиков, группа специализируется на атаках на телекоммуникационный сектор, правительственные учреждения и критическую инфраструктуру по всему миру.

По данным расследования, атака началась с компрометации шлюза Citrix NetScaler Gateway - распространенной точки входа, которую Salt Typhoon регулярно использует в своих операциях. После получения доступа к периферийному устройству злоумышленники переместились во внутреннюю сеть, нацелившись на хосты Citrix Virtual Delivery Agent в подсети служб создания машин. Для начального доступа использовалась инфраструктура, потенциально связанная с сервисом SoftEther VPN, что позволило скрыть истинное происхождение атаки.

Ключевым элементом атаки стало использование техники DLL sideloading - подгрузки вредоносных библиотек через легитимное программное обеспечение. Злоумышленники внедрили вредоносные DLL-файлы вместе с законными исполняемыми файлами антивирусного ПО, что позволило выполнять вредоносные нагрузки, обходя традиционные сигнатурные системы защиты. Через этот механизм была доставлена бэкдор-программа SNAPPYBEE, также известная как Deed RAT.

Для управления зараженными системами бэкдор использовал инфраструктуру на базе VPS-хостинга LightNode, применяя как HTTP-протокол, так и неидентифицированный протокол на основе TCP. HTTP-трафик содержал POST-запросы с заголовком User-Agent Internet Explorer и специфическими шаблонами URI. Одним из идентифицированных командных серверов стал aar.gandhibludtric[.]com с IP-адресом 38.54.63[.]75, который ранее уже связывали с деятельностью Salt Typhoon.

Анализ методов работы группы показывает их приверженность тактике "живьем за счет земли" (living-off-the-land), когда злоумышленники максимально используют легитимные инструменты операционной системы для своих целей. В арсенале группы находятся такие инструменты, как демонстрационный руткит Demodex для скрытного удаленного контроля, загрузчик SparrowDoor для доставки полезной нагрузки и бэкдор GhostSpider для выполнения команд, эксфильтрации данных и перемещения по сети.

Для поддержания постоянного доступа к компрометированным системам группа модифицирует списки контроля доступа, добавляя IP-адреса командных серверов в белые списки, открывает службы SSH и RDP на нестандартных портах и добавляет несанкционированные ключи к существующим службам. Особую опасность представляет использование группой уязвимостей нулевого дня и эксплойтов для таких сетевых устройств, как маршрутизаторы Cisco, шлюзы Citrix NetScaler Gateway и системы Fortinet FortiOS.

Целевой характер атаки на телекоммуникационный сектор соответствует общей стратегии группы, которая ранее уже компрометировала как минимум девять американских телеком-провайдеров, канадскую телекоммуникационную компанию и сеть Армейской национальной гвардии одного из штатов США. География операций Salt Typhoon охватывает более 80 стран, включая государства Юго-Восточной Азии, Европы и Африки.

Эксперты по кибербезопасности отмечают, что атака демонстрирует растущую способность китайских APT-групп использовать сложные методы обхода защиты и сохранять длительное присутствие в чувствительных средах. Комбинация эксплуатации уязвимостей в периферийных устройствах, использования легитимного ПО для доставки вредоносных нагрузок и многослойной инфраструктуры управления делает такие угрозы особенно трудными для обнаружения традиционными средствами защиты.

Аналитики PolySwarm продолжают мониторинг активности, связанной с группой Salt Typhoon, и предупреждают организации критической инфраструктуры о необходимости усиления мер защиты, особенно для периферийных устройств и систем удаленного доступа. Рекомендуется уделить особое внимание мониторингу аномальной сетевой активности, проверке целостности программного обеспечения и своевременному обновлению систем безопасности.

Индикаторы компрометации

MD5

  • 8bd8506f6b1a80eea68e877fa81e267c

SHA1

  • b5367820cd32640a2d5e4c3a3c1ceedbbb715be2

SHA256

  • fc3be6917fd37a083646ed4b97ebd2d45734a1e154e69c9c33ab00b0589a09e5
Комментарии: 0
Похожие записи
0
08.09.2025
Индикаторы компрометации

Угроза нового поколения: обнаружен первый в мире AI-вымогатель PromptLock

ransomware
Исследователи кибербезопасности компании ESET обнаружили первый известный образец вредоносного ПО для вымогателей (ransomware), использующий искусственный интеллект для генерации вредоносных скриптов.
0
09.09.2025
Индикаторы компрометации

Китайские хакерские группы Salt Typhoon и UNC4841: новые домены и данные телеметрии

APT
Компания Silent Push, специализирующаяся на киберразведке, опубликовала данные о технических отпечатках деятельности китайской группы повышенной угрозы (APT - Advanced Persistent Threat) Salt Typhoon.
0
21.02.2025
Индикаторы компрометации

Salt Typhoon APT IOCs

security
Компания Cisco Talos следит за крупными американскими телекоммуникационными компаниями и обнаружила широкомасштабные вторжения, осуществляемые злоумышленником, названным Salt Typhoon.
0
08.08.2025
Индикаторы компрометации

Универсальный лоадер CastleLoader атакует госструктуры США через фишинг и GitHub

information security
Специалисты по кибербезопасности предупреждают о стремительном распространении CastleLoader, универсального загрузчика вредоносных программ, который с мая 2025 года успешно инфицировал 469 устройств.