Киберпреступники, связанные с Китаем, продолжают целенаправленные атаки на американские организации, влияющие на формирование внешней политики страны. В апреле 2025 года была скомпрометирована сеть американской неправительственной организации, активно участвующей в лоббировании международных политических решений. Атака демонстрирует сохраняющийся интерес китайских APT-групп к учреждениям, способным влиять на политику Вашингтона.
Описание
Злоумышленники действовали методично и целенаправленно. Первые признаки вредоносной активности были зафиксированы 5 апреля 2025 года, когда началось массовое сканирование серверов с попытками эксплуатации известных уязвимостей, включая уязвимости в Atlassian (CVE-2022-26134), Log4j (CVE-2021-44228), Apache Struts (CVE-2017-9805) и GoAhead (CVE-2017-17562). После этого наступила пауза, и основная активность развернулась 16 апреля.
В 1:21 по местному времени злоумышленники выполнили серию подозрительных команд curl для проверки интернет-соединения и тестирования подключения к внутренним системам. Особый интерес атакующие проявили к системе с IP-адресом 192.0.0.88, пробуя различные методы подключения через HTTPS, порт 443 и пингование доменов Google. Эта активность указывает на возможные технические сложности при установлении соединения с целевой системой.
Следующим шагом стало использование утилиты netstat для сбора информации о сетевых подключениях, что характерно для разведки сетевой инфраструктуры. Особое внимание уделялось TCP-соединениям (Transmission Control Protocol - протокол управления передачей), которые обеспечивают обмен сообщениями между приложениями в сети.
Для обеспечения устойчивого доступа злоумышленники создали запланированную задачу через schtasks, которая выполнялась каждые 60 минут с правами системы. Задача запускала легитимный msbuild.exe для выполнения содержимого файла outbound.xml, который, в свою очередь, загружал и внедрял неизвестный код в процесс csc.exe. Этот процесс устанавливал соединение с командным сервером C&C по адресу hxxp://38.180.83[.]166/6CDF0FC26CDF0FC2.
В 2:50 утра был выполнен пользовательский загрузчик, который расшифровывал и загружал в память зашифрованный файл. Хотя полезная нагрузка не была доступна для анализа, эксперты предполагают, что это мог быть инструмент удаленного доступа RAT (Remote Access Tool).
Отличительной особенностью атаки стало использование техники DLL-sideloading, когда легитимный компонент VipreAV (vetysafe.exe) использовался для загрузки вредоносной библиотеки sbamres.dll. Эта методика ранее ассоциировалась с группами Space Pirates и Earth Longzhi, являющейся подгруппой APT41. Аналогичная техника применялась в связке с трояном Deed RAT (также известным как Snappy Bee), который приписывается группе Kelp (также известной как Salt Typhoon или Earth Estries).
APT41 считается одной из самых долгоживущих китайских шпионских групп и состоит из нескольких подразписаний, отслеживаемых как Blackfly, Grayfly и Redfly. Earth Longzhi впервые была описана Trend Micro в 2022 году, но её активность фиксировалась с 2020 года. Группа нацеливалась на организации в Тайване, Китае, Таиланде, Малайзии, Индонезии, Пакистане и Украине. Space Pirates активны как минимум с 2017 года и известны атаками на российские компании.
На скомпрометированной сети также была обнаружена версия инструмента Dcsync, который имитирует контроллер домена для получения учетных данных пользователей через службу репликации каталогов MS-DRSR. Последней зафиксированной активностью стало использование легитимного инструмента Imjpuexc, предназначенного для ввода восточноазиатских символов, после чего вся активность полностью прекратилась.
Эксперты отмечают, что атакующие стремились установить постоянное и скрытное присутствие в сети, проявляя особый интерес к контроллерам домена, что потенциально позволяло бы распространиться на множество машин в сети. Совместное использование инструментов разными китайскими группами остается давней тенденцией, что затрудняет точную атрибуцию конкретных инцидентов.
Индикаторы компрометации
URLs
- http://38.180.83.166/6CDF0FC26CDF0FC2
SHA256
- 51ffcff8367b5723d62b3e3108e38fb7cbf36354e0e520e7df7c8a4f52645c4d
- 6f7f099d4c964948b0108b4e69c9e81b5fc5ff449f2fa8405950d41556850ed9
- 99a0b424bb3a6bbf60e972fd82c514fd971a948f9cedf3b9dc6b033117ecb106
- dae63db9178c5f7fb5f982fbd89683dd82417f1672569fef2bbfef83bec961e2
- e356dbd3bd62c19fa3ff8943fc73a4fab01a6446f989318b7da4abf48d565af2
- f52b86b599d7168d3a41182ccd89165e0d1f2562aa7363e0718d502b7e3fcb69
