Эксперты по кибербезопасности раскрыли масштабную шпионскую кампанию, нацеленную на государственные структуры и медиахолдинги в регионе Южно-Китайского моря. С начала 2025 года злоумышленники, связанные с Китаем, используют сложную цепочку атак для компрометации высокопоставленных целей в Лаосе, Камбодже, Сингапуре, Филиппинах и Индонезии.
Описание
Особую озабоченность вызывает растущая активность КНР в Индо-Тихоокеанском регионе. Недавние инциденты включают мониторинг совместных военных учений филиппинских ВМС с кораблями США, Австралии, Канады и Новой Зеландии. Атаки на правительственные учреждения и новостные организации представляют особый интерес, поскольку эти структуры формируют политику, общественное мнение и международные альянсы.
Кампания начинается с целевой фишинговой рассылки. Злоумышленники отправляют письма с архивным файлом "Proposal_for_Cooperation_3415.05092025.rar", который использует критическую уязвимость CVE-2025-8088 в популярном архиваторе WinRAR. Данная уязвимость позволяет осуществлять путь обхода директорий через альтернативные потоки данных. При извлечении содержимого архива автоматически активируется механизм обеспечения постоянства (persistence).
В папку автозагрузки текущего пользователя помещается скрипт "Windows Defender Definition Update.cmd". Этот файл маскируется под обновление защитника Windows и выполняется при следующем входе в систему. Скрипт загружает вторую стадию атаки из облачного хранилища Dropbox, используя PowerShell для скачивания дополнительного RAR-архива.
Загруженный архив защищен паролем S8jwaqfA0BBuWOAKrFLg и сохраняется в общедоступной папке Documents с полуслучайным именем. После извлечения злоумышленники создают постоянство через добавление записи в реестр Windows. Ключ автозагрузки указывает на исполняемый файл obs-browser-page.exe, который является легитимным приложением.
Критический элемент атаки - техника DLL sideloading, когда вредоносная библиотека libcef.dll загружается легитимным приложением. Этот метод позволяет обойти традиционные средства защиты. Вредоносная полезная нагрузка (payload) скрывается в подписанном компоненте, что значительно усложняет обнаружение.
Анализ временных меток показывает, что компоненты были скомпилированы в сентябре 2025 года, что свидетельствует о подготовке к длительной операции. Использование облачных сервисов для доставки вредоносных нагрузок позволяет злоумышленникам избегать блокировки традиционных сигнатур.
Данная кампания демонстрирует растущую изощренность кибершпионских групп. Сочетание социальной инженерии, эксплуатации неизвестных уязвимостей и сложных техник уклонения от обнаружения представляет серьезную угрозу для национальной безопасности. Эксперты рекомендуют организациям в регионе немедленно обновить WinRAR до последней версии и усилить мониторинг подозрительной активности.
Особое внимание следует уделить анализу исходящего сетевого трафика и нестандартной автозагрузки приложений. Регулярное обучение сотрудников распознаванию целевых фишинговых атак также остается критически важным элементом защиты. Кибербезопасность становится ключевым аспектом геополитической стабильности в Южно-Китайском море.
Индикаторы компрометации
URLs
- https://104.234.37.45
- https://public.megadatacloud.com
SHA256
- 2044a0831ce940fc247efb8ada3e60d61382429167fb3a220f277037a0dde438
- 50855f0e3c7b28cbeac8ae54d9a8866ed5cb21b5335078a040920d5f9e386ddb
- 5b64786ed92545eeac013be9456e1ff03d95073910742e45ff6b88a86e91901b
- 5d0d00f5d21f360b88d1622c5cafd42948eedf1119b4ce8026113ee394ad8848
- 843fca1cf30c74edd96e7320576db5a39ebf8d0a708bde8ccfb7c12e45a7938c
- a3805b24b66646c0cf7ca9abad502fe15b33b53e56a04489cfb64a238616a7bf
- c691f9de944900566b5930f219a55afcfc61eaf4ff40a4f476dd98a5be24b23c
- e409736eb77a6799d88c8208eb5e58ea0dcb2c016479153f9e2c4c3c372e3ff6
Yara
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 | rule Autumn_Backdoor { meta: id = "2kQ17alOYwTwkkTNA8vZCX" fingerprint ="v1_sha256_7a32b90fb6e962a82af808d698dc19d503c075606f5a7e52f783f0c7d71f5936" version = "2.0" date = "2025-09-26" modified = "2025-11-18" status = "RELEASED" sharing = "TLP:CLEAR" source = "BARTBLAZE" author = "@bartblaze" description = "Identifies backdoored libcef.dll (stage 1), used by a China-nexus APT, as seen in the Autumn Dragon report." category = "MALWARE" malware = "UNKNOWN" malware_type = "BACKDOOR" reference ="https://cyberarmor.tech/blog/autumn-dragon-china-nexus-apt-group-targets-south-east-asia" hash = "a3805b24b66646c0cf7ca9abad502fe15b33b53e56a04489cfb64a238616a7bf" strings: $s1 = "Could not get process list." $s2 = "Please send the document now." $s3 = "Failed to create pipe." $s4 = "Failed to start process." $s5 = "Command executed but returned no output." $s6 = "Screenshot taken." $s7 = "Please send a document, not text." $x1 = "No file or photo found in message." $x2 = "Error: Cannot create file on disk." $x3 = "File saved to: " $x4 = "Error receiving file:" condition: 4 of ($s*) or 3 of ($x*) } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 | rule Autumn_Backdoor_Loader { meta: id = "5ARAyUbFnFrLABeyLz9bWm" fingerprint ="v1_sha256_09a399531a2e2f8064b1c9862949fa1c9eca1ddab19bfb62a5ce947e002445cc" version = "1.0" date = "2025-11-18" modified = "2025-11-18" status = "RELEASED" sharing = "TLP:CLEAR" source = "BARTBLAZE" author = "@bartblaze" description = "Identifies backdoor loader (stage 2), used by a China-nexus APT, as seen in the Autumn Dragon report." category = "MALWARE" malware = "UNKNOWN" malware_type = "BACKDOOR" reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.broomstick" hash = "843fca1cf30c74edd96e7320576db5a39ebf8d0a708bde8ccfb7c12e45a7938c" hash = "d7711333c34a27aed5d38755f30d14591c147680e2b05eaa0484c958ddaae3b6" strings: $pdb_dev = "\\Dev\\ApplicationDllHijacking\\" $pdb_user = "\\Users\\LG02\\Desktop\\???\\" condition: any of them } |
