Новые детали кибершпионажа: аналитики связали разрозненные атаки на Азиатско-Тихоокеанский регион с угрозой Stately Taurus

В мире киберразведки установление авторства атак, или атрибуция, остаётся одной из наиболее сложных задач. Процесс требует не только технического анализа артефактов вредоносного кода, но и сопоставления тактик, инфраструктуры и целей различных кампаний. Новый кейс от исследователей Palo Alto Networks демонстрирует, как методичный подход позволил связать несколько, на первый взгляд, разрозненных кластеров вредоносной активности с одной известной группой угроз - Stately Taurus, также известной как Mustang Panda или Earth Preta. Этот случай высвечивает современную тенденцию, когда шпионские кампании против конкретного региона или организации могут проводиться разными кластерами злоумышленников, использующими различные инструменты, но работающими в рамках одной мотивации.

Описание

Факты инцидента и методология атрибуции

Исследователи столкнулись с инцидентом, в котором одна организация стала жертвой активности, исходившей из нескольких, казалось бы, независимых кластеров. Для установления связей между ними аналитики применили комплексный подход, основанный на модели Diamond Model (Алмазная модель) и адаптированной системе Admiralty System (Адмиралтейская система оценки). Первая модель позволяет систематизировать данные по четырём ключевым аспектам: противник (Adversary), жертва (Victim), возможности (Capability) и инфраструктура (Infrastructure). Вторая система используется для оценки достоверности источников информации и правдоподобности самих данных, что критически важно для формирования итогового уровня уверенности в атрибуции.

В рамках расследования специалисты сфокусировались на трёх основных направлениях: анализ инфраструктуры (IP-адреса, домены), изучение используемых возможностей (вредоносное ПО, инструменты, тактики, техники и процедуры - TTP) и оценка жертв с целеполаганием. В данном случае жертвами выступали организации на Филиппинах, в Тайване, Мьянме и Монголии, что указывало на чёткий географический интерес злоумышленников. Инфраструктура атаки базировалась на серверах в Сингапуре и Малайзии.

Технические связи и установление авторства

Ключевым техническим доказательством, позволившим связать разные кластеры активности, стала общая методика обфускации кода. Исследователи Palo Alto Networks обнаружили, что загрузчик вредоносной программы CoolClient и другой инструмент, известный как HIUPAN или USBFect, используют идентичный, уникальный метод запутывания кода. Этот факт указывает на связь на уровне кодовой базы, что является серьёзным аргументом в пользу того, что за разными инструментами стоят одни и те же операторы или группа, тесно разделяющая ресурсы.

Хотя прямых доказательств последовательного выполнения между начальным загрузчиком PUBLOAD и CoolClient в ходе этого конкретного расследования обнаружено не было, отчёт компании Trend Micro подтверждает, что CoolClient обычно развёртывается уже после заражения через PUBLOAD. Дополнительными косвенными признаками, характерными для группы Stately Taurus, стали повторное использование старых образцов вредоносного ПО, скомпилированных ещё в 2021 и 2023 годах, а также применение публично доступных библиотек, таких как HP-Socket, для боковой загрузки DLL (DLL Sideloading). Этот метод позволяет легитимному приложению загружать вредоносную динамическую библиотеку, маскируя её выполнение.

Оценка уверенности и выводы

Применяя систему Admiralty System, исследователи оценивали как надёжность источников данных (например, отчётов других компаний по безопасности), так и достоверность каждой конкретной находки. Например, обнаружение удалённого административного трояна (RAT) MASOL было оценено с поправкой на то, что этот инструмент не является эксклюзивным для одной группы. Такой взвешенный подход позволил присвоить высокий уровень уверенности - 64 балла по внутренней шкале - в том, что кластер под внутренним обозначением CL-STA-1048, то есть Stately Taurus, ответственен за кампанию, ранее документированную BitDefender.

Итогом расследования стало уверенное отнесение всей наблюдаемой многосоставной активности к группе Stately Taurus. Эта группа, мотивированная шпионажем и с высокой степенью уверенности ассоциируемая с Китаем, продолжает целенаправленные кампании против государственных и, вероятно, стратегических организаций в Азиатско-Тихоокеанском регионе. Тенденция, на которую указывают аналитики, а некоторые вендоры, как Trend Micro, называют её «Premier Pass-as-a-Service», заключается в том, что одна кампания может использовать несколько независимых инструментариев и инфраструктур, что усложняет её отслеживание и атрибуцию.

Практические рекомендации для специалистов по безопасности

Данный кейс подчёркивает несколько важных моментов для SOC (Центр управления безопасностью) и исследователей угроз. Во-первых, необходимо развивать внутренние процессы и правила для атрибуции инцидентов, чтобы переходить от простого обнаружения к пониманию картины угроз в целом. Во-вторых, критически важно анализировать не только отдельные индикаторы компрометации (IoC), но и связки тактик, техник и процедур (TTP), а также инфраструктуру. Обнаружение общего метода обфускации или повторное использование старой инфраструктуры часто являются более надёжными маркерами для установления связи между атаками, чем отдельные хэши файлов. В-третьих, организациям в указанных регионах и смежных секторах следует уделить особое внимание защите от техник, используемых данной группой, - в частности, от атак с использованием боковой загрузки DLL и фишинговых кампаний, которые являются типичным вектором начального проникновения. Регулярный аудит процессов с повышенными привилегиями и применение принципа наименьших привилегий могут существенно осложнить жизнь злоумышленникам, даже если их инструменты и инфраструктура будут меняться.