Китайские хакеры атаковали телеком-компанию на Ближнем Востоке через уязвимость ToolShell

Атака на телеком-компанию началась 21 июля 2025 года с развертывания веб-шелла, что позволило злоумышленникам получить первоначальный доступ к сети. В ходе атаки использовался бэкдор Zingdoor, который загружался через технику подгрузки легитимного бинарного файла Trend Micro. Zingdoor представляет собой бэкдор на языке Go, впервые обнаруженный в апреле 2023 года. Он способен собирать системную информацию, загружать и скачивать файлы, а также выполнять произвольные команды на скомпрометированных сетях.

Помимо Zingdoor, злоумышленники развернули трояна ShadowPad - модульный удаленный доступ троян (RAT), тесно связанный с китайскими APT-группами (Advanced Persistent Threat - продвинутая постоянная угроза). ShadowPad загружался через легитимный бинарный файл BitDefender, используя технику DLL sideloading, когда злонамеренная DLL подгружается через легитимное приложение.

25 июля атакующие внедрили KrustyLoader - вредоносную программу начальной стадии, написанную на Rust. KrustyLoader способен проводить различные проверки на наличие песочницы и анализа, создавать копии себя, настраивать самоудаление после завершения активности, а также расшифровывать и загружать дополнительное вредоносное программное обеспечение. В предыдущих кампаниях этот инструмент связывали с китайскими угрозными акторами и использовали для загрузки фреймворка Sliver.

Sliver представляет собой кроссплатформенный фреймворк для эмуляции действий противника, который может легитимно использоваться для тестирования безопасности, но часто злоупотребляется злоумышленниками в качестве командного фреймворка.

В атаке также использовались различные публично доступные инструменты и техники living-off-the-land, включая Certutil для декодирования информации и загрузки файлов, GoGo Scanner для автоматического сканирования, Revsocks для создания обратного прокси-соединения, а также Procdump и Minidump для дампа процессов с целью извлечения учетных данных.

Особого внимания заслуживает использование эксплойта для уязвимости Windows LSA Spoofing (CVE-2021-36942), известной как PetitPotam. Эта техника позволяет злоумышленнику в скомпрометированной сети красть учетные данные и информацию аутентификации с Windows-серверов, включая контроллеры домена, для получения полного контроля над доменом, что вероятно использовалось для перемещения по сети и повышения привилегий.

Уязвимость ToolShell, затрагивающая локальные SharePoint-серверы, предоставляет атакующему неаутентифицированный доступ к уязвимым серверам, позволяя удаленно выполнять код и получать доступ ко всему содержимому и файловым системам. Microsoft сообщила, что по крайней мере три китайские группы эксплуатировали эту уязвимость: Budworm (также известная как Linen Typhoon), Sheathminer (Violet Typhoon) и Storm-2603, которая распространяла программу-вымогатель Warlock.

Обнаруженные атаки демонстрируют, что уязвимость ToolShell эксплуатировалась более широким кругом китайских угрозных акторов, чем предполагалось изначально. Большое количество жертв может указывать на то, что атакующие проводили массовое сканирование на наличие уязвимости ToolShell, прежде чем осуществлять дальнейшие действия только в сетях, представляющих интерес. Действия на целевых сетях свидетельствуют о том, что злоумышленники были заинтересованы в краже учетных данных и установлении постоянного скрытого доступа к сетям жертв, вероятно, с целью шпионажа.

Хотя наблюдается некоторое пересечение в типах жертв и используемых инструментах с ранее зафиксированной активностью группы Glowworm, недостаточно доказательств для окончательной атрибуции этой активности одной конкретной группе. Однако все свидетельства указывают на то, что за этим стоят китайские угрозные акторы.

URLs

• http://kia-almotores.s3.amazonaws.com/sy1cyjt
• http://omnileadzdev.s3.amazonaws.com/PBfbN58lX

SHA256

• 071e662fc5bc0e54bcfd49493467062570d0307dc46f0fb51a68239d281427c6
• 1f94ea00be79b1e4e8e0b7bbf2212f2373da1e13f92b4ca2e9e0ffc5f93e452b
• 28a859046a43fc8a7a7453075130dd649eb2d1dd0ebf0abae5d575438a25ece9
• 568561d224ef29e5051233ab12d568242e95d911b08ce7f2c9bf2604255611a9
• 5b165b01f9a1395cae79e0f85b7a1c10dc089340cf4e7be48813ac2f8686ed61
• 6240e39475f04bfe55ab7cba8746bd08901d7678b1c7742334d56f2bc8620a35
• 6aecf805f72c9f35dadda98177f11ca6a36e8e7e4348d72eaf1a80a899aa6566
• 6c48a510642a1ba516dbc5effe3671524566b146e04d99ab7f4832f66b3f95aa
• 7803ae7ba5d4e7d38e73745b3f321c2ca714f3141699d984322fa92e0ff037a1
• 7acf21677322ef2aa835b5836d3e4b8a6b78ae10aa29d6640885e933f83a4b01
• 7be8e37bc61005599e4e6817eb2a3a4a5519fded76cb8bf11d7296787c754d40
• 929e3fdd3068057632b52ecdfd575ab389390c852b2f4e65dc32f20c87521600
• db15923c814a4b00ddb79f9c72f8546a44302ac2c66c7cc89a144cb2c2bb40fa
• dbdc1beeb5c72d7b505a9a6c31263fc900ea3330a59f08e574fd172f3596c1b8
• e4ea34a7c2b51982a6c42c6367119f34bec9aeb9a60937836540035583a5b3bc
• e6c216cec379f418179a3f6a79df54dcf6e6e269a3ce3479fd7e6d4a15ac066e