Независимая проверка подтвердила: компания Zhengzhou 403 использовала корневые наборы для атак на протяжении 15 месяцев

Специалист по угрозам компании Splunk Майкл Хаг независимо обнаружил ту же самую подозрительную активность ещё в мае 2025 года. Он сообщил о ней в удостоверяющий центр GlobalSign с помощью платформы Cert Graveyard - сообщества для отслеживания злоупотреблений сертификатами. Как выяснилось, Хаг, авторы первой части расследования и участники площадки MalwareBazaar независимо друг от друга пришли к одним и тем же выводам, что подтверждает достоверность находок.

В своём обращении к GlobalSign Хаг указал на вредоносный файл, подписанный сертификатом Zhengzhou 403 и загруженный в VirusTotal. Анализ показал, что это был троянизированный установщик Telegram, который содержал конфигурацию для бэкдора CobaltStrike - инструмента удалённого управления, часто используемого в целевых атаках. Вредоносная программа была настроена на связь с командным сервером oss-aws.1nb[.]xyz. Примечательно, что в песочнице приложение выполняло команду PowerShell для исключения директории из-под сканирования защитником Windows.

Важнейшим открытием стало то, что у Zhengzhou 403 имелся более ранний сертификат GlobalSign, выданный в январе 2024 года и действовавший до января 2025 года. Этот сертификат уже истёк, но не был отозван принудительно. Исследователи подчёркивают, что операторы намеренно дали первому сертификату истечь естественным путём, чтобы не привлекать внимания, а затем в течение нескольких недель получили новый. Такой подход свидетельствует о продуманной стратегии ротации сертификатов.

Под этим первым сертификатом были подписаны два дополнительных драйвера, которые кардинально расширяют картину возможностей злоумышленников. Первый из них, hide_process, реализует технику скрытия процессов на уровне ядра операционной системы. Как показывают данные из путей отладки, этот драйвер был скомпилирован прямо из публичного репозитория на GitHub. Механизм его работы заключается в удалении целевого процесса из связного списка структур ядра, что делает его невидимым для диспетчера задач и других стандартных инструментов наблюдения.

Второй драйвер, YDArkDrv.sys, представляет собой профессиональный корневой набор (rootkit) китайского происхождения. Он позволяет скрывать не только процессы, но и файлы, разделы реестра, драйверы и модули. Кроме того, YDArkDrv.sys может модифицировать таблицы системных вызовов и повышать привилегии процессов. Это не экспериментальная разработка, а полноценный инструмент для глубокого сокрытия присутствия в системе.

Таким образом, исследователи составили полную картину арсенала. Первый уровень - драйвер dragoncore_k.sys, описанный в первой части, который убивает процессы средств защиты. Второй уровень - подмена данных командной строки для обмана систем телеметрии. Третий уровень - скрытие вредоносного процесса от любого перечисления на уровне ядра. Четвёртый уровень - полное сокрытие присутствия на всех уровнях системы с помощью YDArkDrv.sys. Пятый уровень - удалённое управление через CobaltStrike с предварительным отключением защитника Windows.

Временная линия выглядит следующим образом. Первый сертификат был получен в январе 2024 года. В течение всего года под ним подписывались скрывающие драйверы и корневые наборы. В январе 2025 года сертификат истёк. Уже в марте 2025 года Zhengzhou 403 получила новый сертификат и начала подписывать dragoncore_k.sys и троянизированные установщики. Сообщение исследователя в мае 2025 года привело к отзыву второго сертификата, что сократило его срок службы с планировавшихся 12 месяцев до примерно пяти недель.

Исследователи отмечают, что ни одна легитимная компания-разработчик драйверов не производит под одним сертификатом полный набор инструментов для уничтожения средств защиты, сокрытия процессов и удалённого управления. Zhengzhou 403 Network Technology, по данным расследования, является фиктивной структурой, зарегистрированной по адресу, который оказался нежилым помещением в гостинице.

Теперь специалистам по безопасности рекомендуется проверить свои системы на предмет активности, связанной с обоими сертификатами. Особое внимание следует уделить поиску событий, когда команды PowerShell изменяли настройки защитника Windows непосредственно перед загрузкой драйвера. Также стоит обращать внимание на любые аномалии в перечислении процессов, когда ядро операционной системы показывает одно, а пользовательские инструменты - другое. Отчёт исследователей подчёркивает, что даже истёкший сертификат остаётся опасным, так как подписанные им файлы сохраняют цифровую подпись навсегда.

Этот случай демонстрирует, как злоумышленники могут годами эксплуатировать доверенные сертификаты, меняя их по истечении срока действия, чтобы избежать принудительного отзыва. Платформа Cert Graveyard была создана именно для того, чтобы закрыть эту брешь, и уже доказала свою эффективность. Участие трёх независимых групп исследователей, пришедших к одним и тем же выводам, подтверждает системный характер угрозы.

SHA256

• 256eebb34389854fb0befdbfb75cefb7354c75ab02239695899bdd2f37e1bd73
• 8b5af508dcee04dbb7dabdffeff03726ef821182ffdb8a930af57e9e71740440
• ce38c96a69a8a1c6828e11742355c41b878198e08d7efbe73eefa1b5cbe623c5