Главная страница » Индикаторы компрометации
0
6 часов
Индикаторы компрометации

Китайская хакерская группа Salt Typhoon атакует телекоммуникационные компании через уязвимости Citrix

APT

Компания Darktrace сообщила о выявлении активности китайской хакерской группы Salt Typhoon в европейской телекоммуникационной организации. Атака, обнаруженная в июле 2025 года, демонстрирует растущую изощренность государственных хакеров, использующих легитимное программное обеспечение для обхода традиционных систем защиты.

Описание

Salt Typhoon, также известная как Earth Estries, GhostEmperor и UNC2286, представляет собой одну из наиболее устойчивых и сложных угроз для глобальной критической инфраструктуры. Группа, связываемая с китайскими государственными структурами, действует с 2019 года и нацеливалась на телекоммуникационные компании, энергетические сети и правительственные системы в более чем 80 странах. Особую озабоченность экспертов вызывают способности группы эксплуатировать периферийные устройства, поддерживать длительное присутствие в системах жертв и похищать конфиденциальные данные.

В текущем инциденте начальное проникновение произошло через уязвимость в устройстве Citrix NetScaler Gateway. Оттуда злоумышленники переместились на хосты Citrix Virtual Delivery Agent в подсети служб создания машин клиента. Исходная точка атаки, вероятно, была связана с сервисом SoftEther VPN, что указывает на использование методов сокрытия инфраструктуры с самого начала операции.

Аналитики Darktrace с высокой степенью уверенности идентифицировали бэкдор SNAPPYBEE, также известный как Deed RAT, на нескольких хостах Citrix VDA. Злоумышленники доставляли вредоносную библиотеку DLL вместе с легитимными исполняемыми файлами антивирусного программного обеспечения Norton Antivirus, Bkav Antivirus и IObit Malware Fighter. Эта техника, известная как DLL sideloading, позволяет выполнять вредоносные нагрузки под видом доверенного программного обеспечения, обходя традиционные средства защиты.

Командные серверы злоумышленников использовали услуги хостинга LightNode VPS и поддерживали связь через HTTP и неидентифицированный протокол на основе TCP. Такой двухканальный подход соответствует известным методам работы Salt Typhoon, применяющим нестандартные и многоуровневые протоколы для уклонения от обнаружения. Среди установленных серверов управления был aar.gandhibludtric[.]com, ранее связываемый с деятельностью этой группы.

По оценкам Darktrace, с умеренной степенью уверенности наблюдаемая активность соответствует тактикам, техникам и процедурам группы Salt Typhoon. Совпадения наблюдались в методах развертывания, используемой инфраструктуре и вредоносном программном обеспечении. Этот случай демонстрирует, как государственные хакеры все чаще маскируются под нормальные операции, что делает обнаружение поведенческих аномалий критически важным для выявления subtle deviations и корреляции разрозненных сигналов.

Инцидент подчеркивает ограниченность традиционных сигнатурных методов обнаружения при противостоянии современным угрозам продвинутого постоянного характера. Способность Salt Typhoon адаптировать свой инструментарий и перепрофилировать доверенное программное обеспечение гарантирует, что группа останется сложной для обнаружения с помощью конвенциональных подходов. Эксперты отмечают, что аномалийное обнаружение становится не дополнительной опцией, а необходимым компонентом защиты от изощренных противников, способных обходить стандартные средства безопасности.

По мере того как государственные кибероперации продолжают эволюционировать, организации должны пересматривать свои модели угроз и внедрять проактивные стратегии защиты. Случай с Salt Typhoon служит напоминанием, что обнаружение на основе аномалий играет критическую роль в выявлении активности на ранних стадиях, когда традиционные методы могут оказаться неэффективными.

Индикаторы компрометации

IPv4

  • 156.244.28.153
  • 38.54.63.75
  • 89.31.121.101

Domains

  • aar.gandhibludtric.com

URLs

  • http://156.244.28.153/17ABE7F017ABE7F0
  • http://89.31.121.101:443//Dialog.dat
  • http://89.31.121.101:443/1.txt
  • http://89.31.121.101:443/123.tar
  • http://89.31.121.101:443/123.txt
  • http://89.31.121.101:443/dbindex.dat
  • http://89.31.121.101:443/DgApi.dll
  • http://89.31.121.101:443/DisplayDialog.exe
  • http://89.31.121.101:443/fltLib.dll
  • http://89.31.121.101:443/imfsbDll.dll
  • http://89.31.121.101:443/imfsbSvc.exe
  • http://89.31.121.101:443/NortonLog.txt
  • http://89.31.121.101:443/pdc.exe
  • http://89.31.121.101:443/WINMM.dll

SHA1

  • b5367820cd32640a2d5e4c3a3c1ceedbbb715be2
Комментарии: 0
Похожие записи
0
20.01.2025
Индикаторы компрометации

RansomHub Ransomware IOCs - Part 3

ransomware
Компания Darktrace в период с сентября по октябрь 2024 года провела исследование нескольких клиентских сетей, которые были атакованы группой RansomHub. Далее проведенный анализ показал связь между RansomHub и группой ShadowSyndicate.
0
10.09.2025
Индикаторы компрометации

Вредоносная кампания Commando Cat атакует Docker через уязвимые API

information security
Исследователи из Cado Security Labs (теперь в составе Darktrace) обнаружили новую вредоносную кампанию, названную "Commando Cat", которая нацелена на открытые конечные точки Docker API.
0
10.09.2025
Индикаторы компрометации

Киберугроза через интеграцию Salesloft: атака на цепочку поставок обошла традиционные системы защиты

information security
В августе 2025 года произошла масштабная кампания по хищению данных, нацеленная на пользователей платформы автоматизации продаж Salesloft. Атака, получившая название по идентификатору исполнителя UNC6395
0
01.09.2025
Индикаторы компрометации

Qubitstrike: новая кампания вредоносного ПО атакует Jupyter Notebooks для кражи облачных учетных данных

information security
Специалисты Cado Security Labs (ныне в составе Darktrace) обнаружили новую кампанию криптоджекинга под названием Qubitstrike, нацеленную на незащищенные экземпляры Jupyter Notebook.