Китайские APT-группы оперативно переключились на Катар на фоне эскалации конфликта на Ближнем Востоке

Первая волна атак была зафиксирована уже 1 марта, спустя день после начала масштабной военной операции в регионе. Злоумышленники нацелились на организации в Катаре, используя в качестве приманки контент, связанный с конфликтом. В частности, в одной из схем использовался архивный файл, замаскированный под фотографии последствий ракетного удара по американским базам в Бахрейне. При его исполнении запускалась сложная многоэтапная цепочка заражения. Она начиналась с LNK-файла, который обращался к скомпрометированному серверу для загрузки следующего этапа вредоносной нагрузки. Финальным шагом стало внедрение бэкдора PlugX через механизм подмены DLL (техника DLL hijacking) легитимного приложения Baidu NetDisk.

PlugX - это модульный бэкдор, ассоциируемый с множеством китайских APT-групп (продвинутых постоянных угроз) как минимум с 2008 года. Его плагинная архитектура предоставляет злоумышленникам удалённый доступ к системе и широкий спектр функций для действий после компрометации: от эксфильтрации файлов и перехвата нажатий клавиш до удалённого выполнения команд. Использованные в атаке на Катар образцы PlugX содержали криптографические ключи (qwedfgx202211 и 20260301@@@), которые ранее наблюдались в кампаниях, приписываемых группировке Camaro Dragon. Эта группа, также известная под именами Earth Preta и Mustang Panda, давно отслеживается аналитиками угроз. Интересно, что данная цепочка заражения не является уникальной для Катара. Специалисты Check Point Research сообщили об идентичном методе доставки, использованном несколькими месяцами ранее, в конце декабря, при атаках на цели, связанные с турецкими военными. Эта повторяемость указывает на то, что группировка сохраняет фокус на всём Ближневосточном регионе, оперативно смещая активность в сторону новых объектов, таких как Катар, когда изменения в обстановке открывают свежие возможности для сбора разведданных.

Параллельно была обнаружена вторая кампания, также предположительно нацеленная на Катар. В ней использовался защищённый паролем архив с названием, отсылающим к ударам по объектам нефтегазовой отрасли в Персидском заливе. Судя по всему, архив распространялся по электронной почте. В этой атаке применялись низкокачественные изображения, сгенерированные искусственным интеллектом и имитирующие коммуникации правительства Израиля. Их целью была доставка ранее не встречавшегося загрузчика, написанного на языке Rust. Этот загрузчик также использовал технику подмены DLL, на этот раз нацеливаясь на компонент nvdaHelperRemote.dll из состава открытого скринридера NVDA. Злоупотребление именно этим компонентом ранее наблюдалось в крайне ограниченном числе кампаний китайского происхождения. Финальной полезной нагрузкой в этой операции стал Cobalt Strike - широко известный фреймворк для тестирования на проникновение, который часто используется злоумышленниками в зловредных целях. Как правило, угрозы применяют его на начальном этапе компрометации для быстрой разведки во вновь заражённых системах и сетях, чтобы оценить окружение и принять решение о целесообразности более глубокого и масштабного вторжения.

Аналитики с умеренной уверенностью оценивают эту вторую кампанию как связанную с интересами Китая. Совокупность техник - использование подмены DLL через компоненты NVDA, применение Cobalt Strike, а также задействование командных серверов, зарегистрированных через Kaopu Cloud и Cloudflare, - соответствует ранее задокументированным тактикам, методам и процедурам (TTP) китайских группировок. Временные метки атак предоставляют дополнительный контекст, подтверждающий эту оценку.

Эти инциденты указывают на важную тенденцию: хотя страны Персидского залива не так часто фигурируют в публичных отчётах об активности китайских APT по сравнению с другими частями Ближнего Востока, крупные региональные события могут мгновенно изменить приоритеты разведки. Практически мгновенная фокусировка на Катаре отражает не только оппортунистический сбор информации, связанный с текущим кризисом, но и, возможно, более широкий сдвиг в приоритетах в сторону государства, находящегося на пересечении интересов нескольких конкурирующих региональных и мировых держав. Умение угроз адаптировать свои приманки под актуальные новости делает традиционные меры осведомлённости пользователей ещё более критичными. Специалистам по безопасности в регионе, особенно в государственном и энергетическом секторах, рекомендуется усилить мониторинг фишинговых рассылок с тематикой конфликта, ужесточить политики выполнения макросов и скриптов из вложений, а также уделить особое внимание анализу сетевой активности на предмет соединений с подозрительными или недавно зарегистрированными доменами.

IPv4

• 185.219.220.73
• 91.193.17.117

Domains

• almersalstore.com

SHA256

• 1ddbed0328a60bb4f725b4ef798d5d14f29c04f7ffe9a7a6940cacb557119a1c
• 26d10996fd2880441445539cd8a6e7fe0777f6ca3352dae6ef84d1d747aabb0c
• 4d8027424b5bcd167ab70c8320ce3c5df72a9ecca01246b095e4af498f77725d
• a7c56033f2264c71b0485da693e3f627b2b5ccfe3399a53cc558be77f95d9c13
• a8acb9864e6f64323ed75e69038ca9bfe76f7b1b0d24ec7df8ac07b6dbd641a3
• a9de383c6a1b00c9bd5a09ef87440d72ec7fc4bcd781207b3cace2f246788d4d
• b58ec14b0119182aef12d153280962ad76c30e3cd67533177d55481704eba705
• c78eb1cecef5f865b6d150adcf67fa5712c5a16b94f1618c32191e61fbe69590
• fa3a1153018ac1e1a35a65e445a2bad33eac582c225cf6c38d0886802481cd43
• fff7864019b651bea2448228d6557d995edc929276bb9d8cb34c3c280a42684e