Специалисты Seqrite Labs APT-Team обнаружили целевую кампанию против китайской телекоммуникационной отрасли, в частности против China Mobile Tietong Co., Ltd. - дочерней компании China Mobile, одного из крупнейших операторов связи в Китае. Атака использует сложный набор вредоносных инструментов, включая VELETRIX и VShell, последний из которых известен как инструмент симуляции действий злоумышленников, ранее применяемый китайскими хакерскими группировками против западных организаций.
Описание
Кампания началась с распространения вредоносного ZIP-файла под названием "附件.zip" (attachment.zip), содержащего исполняемые файлы и DLL, некоторые из которых были подписаны легальными сертификатами, включая сертификат Shenzhen Thunder Networking Technologies Ltd. Один из файлов, "drstat.dll", связан с программным обеспечением Wondershare RepairIt, что указывает на использование техники DLL-Sideloading для загрузки вредоносного кода.
Основной вредоносный имплант, названный исследователями VELETRIX, использует сложные методы антианализа, включая задержки выполнения и звуковые сигналы для обхода песочниц. После загрузки в память он декодирует обфусцированный шелл-код, преобразованный в список IPv4-адресов, и выполняет его с помощью API EnumCalendarInfoA.
Второй этап атаки включает загрузку импланта VShell - кроссплатформенного фреймворка на Golang, ранее использовавшегося китайскими APT-группами. Анализ показал, что имплант взаимодействует с командным сервером, используя соль "qwe123qwe". Исследователи обнаружили 44 схожих образца с этим параметром, что указывает на масштабность кампании.
Инфраструктура атакующего включает серверы в США, Гонконге и других регионах, а также пересекается с активностью известных APT-групп, таких как UNC5174 (Uteus) и Earth Lamia. На некоторых серверах развернуты дополнительные инструменты, включая Cobalt Strike и SuperShell, что подтверждает связь с китайскими государственными хакерскими группировками.
Эксперты с высокой степенью уверенности связывают эту кампанию с китайскими APT-кластерами, использующими инструменты для кибершпионажа и целевых атак. Рост подобных операций подчеркивает необходимость усиления защиты критически важных отраслей, включая телекоммуникационный сектор.
Индикаторы компрометации
IPv4
- 47.115.51.44
- 47.123.7.206
- 62.234.24.38
SHA256
- 2206cc6bd9d15cf898f175ab845b3deb4b8627102b74e1accefe7a3ff0017112
- 40450b4212481492d2213d109a0cd0f42de8e813de42d53360da7efac7249df4
- 645f9f81eb83e52bbbd0726e5bf418f8235dd81ba01b6a945f8d6a31bf406992
- a0f4ee6ea58a8896d2914176d2bfbdb9e16b700f52d2df1f77fe6ce663c1426a
- ac6e0ee1328cfb1b6ca0541e4dfe7ba6398ea79a300c4019253bd908ab6a3dc0
- ba4f9b324809876f906f3cb9b90f8af2f97487167beead549a8cddfd9a7c2fdc
- bb6ab67ddbb74e7afb82bb063744a91f3fecf5fd0f453a179c0776727f6870c7