Китайские хакерские группы используют общие инструменты для атак на телекоммуникационный сектор Азии

Кампания, активная с 2022 года, привлекла внимание аналитиков из-за сложного метода заражения, основанного на подмене порядка поиска DLL (Dynamic-Link Library). Злоумышленники используют уязвимость в механизме загрузки библиотек операционной системы Windows: вредоносный код маскируется под легитимную DLL и загружается в память при запуске доверенного приложения, в данном случае Mobile Popup Application. Это позволяет избежать обнаружения классическими антивирусными средствами.

Главным открытием стало обнаружение нового варианта бэкдора PlugX. Его конфигурация радикально отличается от стандартной для этого семейства вредоносных программ и в точности повторяет структуру конфигурации бэкдора RainyDay, исторически связываемого с китайской группировкой Naikon. Это позволило исследователям с средней степенью уверенности атрибутировать кампанию именно этой активности.

Однако наиболее интригующим аспектом расследования стало обнаружение глубоких технических перекрытий между тремя, казалось бы, независимыми семействами вредоносного программного обеспечения: RainyDay (ассоциируется с Naikon), Turian (ассоциируется с BackdoorDiplomacy) и новым вариантом PlugX. Все три используют идентичные методы для расшифровки своей полезной нагрузки в памяти. Их загрузчики не только имеют схожую структуру кода, но и применяют один и тот же криптографический алгоритм - комбинацию XOR, RC4 и функции RtlDecompressBuffer - с идентичными ключами шифрования. В частности, ключ RC4 "8f-2;g=3/c?1wf+c92rv.a" был обнаружен в образцах всех трех бэкдоров.

Подобное повторное использование уникальных криптографических ключей и алгоритмов крайне нехарактерно для независимых групп и с высокой вероятностью указывает на то, что инструменты разрабатываются одним источником или что группы тесно сотрудничают. Дополнительным доказательством служит анализ путей отладочной информации (PDB-путей), встроенной в загрузчики. Пути для Turian и возможного загрузчика PlugX содержат китайскоязычные комментарии и ссылаются на проекты с датировками, например, "211221" (21 декабря 2021 года), что также указывает на китайскоязычных разработчиков.

Целевой профиль кампаний Naikon и BackdoorDiplomacy демонстрирует последовательное пересечение. Обе группы многократно атаковали телекоммуникационные компании в схожих географических регионах, включая страны Центральной Азии, такие как Казахстан и Узбекистан. Совпадение интересов и инструментария позволяет предположить, что за двумя разными названиями может скрываться одна и та же организация или два тесно связанных подразделения.

Технический анализ загрузчиков показал их единообразное поведение. Каждый загрузчик, исполненный через уязвимость подмены DLL, считывает зашифрованный файл с шелл-кодом из определенной директории, расшифровывает его и размещает в памяти для выполнения. Финальные полезные нагрузки - бэкдоры RainyDay и PlugX - внедряют код в вызывающий процесс, тогда как Turian создает новый легитимный процесс (wabmig.exe или explorer.exe) для своей работы.

Исследователям также удалось обнаружить более старую версию бэкдора RainyDay, скомпилированную еще в 2018 году, а его конфигурационный файл содержал временную метку от 2016 года. Это отодвигает предполагаемое начало операций с использованием этого инструмента как минимум на несколько лет раньше, чем считалось ранее. Что касается варианта PlugX, то его особая опасность заключается в глубокой кастомизации. Злоумышленники, вероятно, имели доступ к исходному коду трояна, что позволило им изменить структуру конфигурации и добавить дополнительные механизмы скрытности, такие как шифрование строк модифицированным алгоритмом TEA (Tiny Encryption Algorithm).

Данная кампания наглядно демонстрирует эволюцию тактик кибершпионских групп, которые все чаще используют легитимное программное обеспечение для маскировки своей активности и поддерживают арсенал из нескольких взаимосвязанных бэкдоров. Обнаруженные связи подчеркивают важность обмена технической информацией между компаниями безопасности для более точной атрибуции угроз и выявления скрытых взаимосвязей между различными хакерскими операциями. Организациям, особенно в телекоммуникационном и промышленном секторах целевых регионов, рекомендуется усилить мониторинг процессов, загружающих DLL из непроверенных источников, и обратить пристальное внимание на сетевую активность, исходящую от легитимных системных приложений.

IPv4

• 103.136.45.108
• 103.172.10.165
• 103.9.14.218
• 117.239.199.202
• 117.254.105.200
• 141.164.59.111
• 23.254.225.184
• 45.114.192.137
• 66.42.62.253

Domains

• asp.asphspes.com
• mailserver.kozow.com
• newsinfom.org
• pay.googleinstall.com

SHA256

• 00dbc8a4b3121af5a19504a9d969e36e709556420a6117eb3533f1d2a8100fd9
• 03cec3b010853893310fea486ecfddf09642a7a5c695c70db77d22bc7c402234
• 0443289b1fc556c5ef4bbfa13774500e3936d965799a9c27be0601170601094d
• 0ec83d1deb6065cac8ba8f849cdf5672da7313ec2e860a7d71bb7e397e661394
• 10479191f2e06ff11797fc4dda2e38ae6667c9dc396fac32a6cf76965358ade6
• 2755de59ef87f9f38c236ed860a1f6f41a1d864126f54c4c0a7f87d4b4f63b20
• 3480613294bc1e1704616dbf5628b92d7186246b87dbef1c8c3dbae13fe35c8b
• 42c9505c2c55b80e0e311cd6da6a5263b946c8ae8bd8162b0280a1e9be7f174b
• 7b028a9bd2bc0c306ab6561cf702406f5925fc073f9d0d2d9408ceccd6907743
• 906ff72d4ea9cd831c58dc009fb1bbe407e8f430208a63d3dffd3f8e1da73f6e
• a12ed375965859d9434c9f651eef2f3663bb076963fec31723176c9083117671
• a92ed5f831c99bb84208ef7d7c733e0183a79de40f9d3b3be54744951f0a1391
• ab526d5ed335860ac2fe0adee26de1a95a3c528299800ddbb4d1e2dd91267252
• aec2d0cbd2f195bf35e55019a29f0d6109451eb85dc7941b73e3b562b065a11c
• b03fe49036c3830f149135068ff54f5c6c6622008a6fcb7edbf6b352e9a0acc0
• b1ee96026a3fc0ee55dab3b73896e88760f909b3c52d4a0152288d90e63f2e63
• b691b2c1846ea75bb5b07a21c8664ecdb6379685623ba45fe6ca552e94a58ebc
• c91595edd1c9a0a2c1168e3bfa532e4a7dbb6b1380afd80ba445b728622798a4
• e29767ffb75be9f363a39ba9b66785ecfc992e3d91ec9fc46515ef94c37dc0b6
• f0ad27f8737ac1a079a52c91d8b5cdd554cd42dccc597de8337e0c25d5287dd2
• fd6b1ca0f26e54fa9c97ea15c834e58ffb71798df38071ad00b14f19d6a4126c
• fd87149d6b8fdcad5d84ba4a3ca52e1cef8f0c54cafca6dbbb5d156f313d79dd
• fe4f88bdfff87a94bd57bc16c20d199ee548e551b4aca852bcc013d0955d7ce8