Специалисты компании ESET обнаружили ранее неизвестную APT-группу, связанную с Китаем. Исследователи присвоили ей имя GopherWhisper - отсылка к языку программирования Go и загружаемому компоненту whisper.dll. В ходе кампании злоумышленники атаковали государственное учреждение в Монголии, применив широкий арсенал инструментов, большинство из которых написано на Go. Вредоносное ПО включает инжекторы, загрузчики и несколько бэкдоров, обеспечивающих удалённое управление заражёнными системами.
Описание
Отличительная черта группы - использование легитимных интернет-сервисов для командных каналов связи (C&C) и кражи данных. В распоряжении атакующих оказались API-токены Discord, Slack, Microsoft 365 Outlook и файлообменника file.io. Благодаря тому, что после компрометации ключей ESET смогла извлечь тысячи сообщений из каналов злоумышленников, исследователи получили уникальную возможность изучить внутреннюю работу группы и её тактику.
Вредоносный инструментарий включает несколько специализированных компонентов. Основной бэкдор на Go, названный LaxGopher, использует приватный сервер Slack для получения команд. Он способен выполнять команды через cmd.exe и загружать дополнительные вредоносные файлы. Для внедрения LaxGopher применяется инжектор JabGopher, который создаёт новый процесс svchost.exe и впрыскивает код бэкдора в его память. Ещё один бэкдор на Go, RatGopher, работает через приватный канал Discord. Для быстрой компрессии и автоматической отправки файлов на file.io операторы применяют инструмент CompactGopher. Также обнаружен бэкдор на C++ под названием SSLORDoor, использующий OpenSSL BIO для связи через сырые сокеты на 443-м порту: он перечисляет диски, читает, записывает, удаляет и загружает файлы. Позднее ESET выявила дополнительные инструменты - загрузчик FriendDelivery (DLL-файл) и бэкдор BoxOfFriends, использующий REST API Microsoft Graph для работы с черновиками писем в Outlook.
Исследователи ESET документировали активность группы с января 2025 года, когда на системе монгольского госучреждения был впервые обнаружен LaxGopher. Дальнейший анализ показал, что все найденные образцы не имеют кодового сходства или совпадений тактик с известными группировками, что позволило выделить их в новую угрозу. Изучение временных меток сообщений из Slack и Discord показало, что основная активность приходилась на рабочие часы с 8 утра до 5 вечера по UTC+8 - это соответствует китайскому часовому поясу. Кроме того, в метаданных Slack локаль пользователя была настроена на тот же часовой пояс. На этом основании эксперты делают вывод о принадлежности GopherWhisper к китайскому сегменту APT.
Из каналов C&C удалось извлечь не только служебные сообщения, но и фрагменты исходного кода. В Slack-канале LaxGopher обнаружились ссылки на четыре репозитория GitHub, которые, по всей видимости, использовались разработчиками как справочный материал. Среди них - библиотеки для управления системными службами на Go, инструменты для внедрения процессов, утилиты шифрования и сжатия. В Discord-канале RatGopher, помимо команд управления, нашёлся исходный код на Go, возможно ранняя версия того же бэкдора. Анализ тестовых запусков выявил, что один из операторов использовал виртуальную машину на базе VMware, установленную в том же часовом поясе UTC+8.
Дополнительную информацию о хронологии дали черновики писем Outlook. Приветственное письмо от Microsoft, отправленное при создании учётной записи barrantaya.1010@outlook.com, не было удалено. Оно подтвердило, что учётная запись создана 11 июля 2024 года, то есть всего за 11 дней до компиляции загрузчика FriendDelivery (22 июля 2024 года), который затем был использован для развёртывания BoxOfFriends.
По оценкам ESET, GopherWhisper представляет собой хорошо оснащённую группу, способную адаптировать инструментарий под конкретную цель. Использование публичных облачных сервисов для C&C позволяет маскировать трафик под обычную деловую активность, что усложняет обнаружение. Применение нескольких различных бэкдоров (LaxGopher, RatGopher, BoxOfFriends, SSLORDoor) даёт злоумышленникам возможность переключаться между каналами связи в случае блокировки одного из них. Атака на госучреждение Монголии указывает на то, что интересы группы лежат в сфере политического шпионажа и сбора разведывательной информации. Специалистам по информационной безопасности, работающим в государственном секторе и смежных областях, следует усилить мониторинг трафика к легитимным облачным сервисам (Discord, Slack, Outlook) и обращать внимание на аномалии, такие как нехарактерное использование API или наличие подозрительных учётных записей в корпоративных средах. Обнаружение подобных индикаторов компрометации должно служить поводом для углублённого анализа на предмет скрытого присутствия APT-группировок.
Индикаторы компрометации
IPv4
- 43.231.113.50
MD5
- 06007ef61672d1153531137c2e5f6ec6
- 136ad515aeb19cada0703dfe146567f1
- 2024ea60da870a221db260482117258b
- 46846ddc7c614331a55623d7c9fa7974
- 51ff3568763f1c290ee21d963d1e2348
- 9f767cfa8c1716e7e3cc64a87e6fec02
- a79e31eddff524646f98a2c14881f6ad
- f4d4581704501e4088312abd9f7bb4ad
SHA1
- 039eb329a173fce7efeca18611a8f2c0f7d24609
- 57c2490e4db194d3503ee85635fb1d6f26e8c534
- 5a1bbb40c442b12594a913431f8c6757a3a66e8f
- 716554dc580a82cc17a1035add302c0766590964
- 926974facfd0383c65458d6ef1f31fbb7c769e18
- ad7e264eb08415871617e45f21d03f7d71e4c36f
- c72e7540d6f12d74d8e737b02f31568385f575d7
- fa9e65e58eb8fa41fde0a0a870b7d24b298026d9
SHA256
- 023fdb1a859f73f1716f5ec0c8a01a964b702de3b4fd63a3bc7a966cdd39d427
- 53043bd27f47dbbe3e5ac691d8a586ab56a33f734356be9b8e49c7e975241a56
- 860069ddb5fb78f19698c6951bb67b5183016cfa813d109699130dafcc55789c
- 8c872595fa8fa58a657584a0172aa20eb18f60fcfc955dec41144a002037b10e
- 97c1266ac21a35f1d82781c30378d563769ce144d903d93d4bfea533103044a3
- 9c2d91b76e495e917d9064ef25352c8bfe913cc67f0aab0fda4beabcb07c90aa
- ca5caa6bc20f9153360e5789ec511235046952a77f3f72b35fefec9b1c342f98
- dd85e137e876a32e5dbedf8a8441d3a1c68f97f4c2304ed862438d6c4cc76348
