Новый вариант PlugX под названием MetaRAT использовался в таргетированной кампании против японских компаний

Исследователи из японского центра реагирования на киберинциденты LAC Cyber Emergency Center (CEC) раскрыли детали сложной кампании целевых атак, направленной на японские транспортные и судоходные компании. Атака, зафиксированная в апреле 2025 года, была совершена группой злоумышленников, предположительно базирующейся в Китае. В ходе кампании использовались новые варианты известного удаленного трояна (remote access trojan, RAT) PlugX, включая ранее не документированный штамм, получивший название MetaRAT.

Описание

По данным аналитиков, начальным вектором атаки послужила эксплуатация двух критических уязвимостей в шлюзах удаленного доступа Ivanti Connect Secure (ICS): CVE-2024-21893 и CVE-2024-21887. Эти уязвимости, связанные с обработкой SAML-запросов, были активно использованы китайскими APT-группами (Advanced Persistent Threat, устойчивая угроза) еще в начале 2024 года. После получения доступа к периметровому устройству злоумышленники провели разведку во внутренней сети, собрали учетные данные привилегированных учетных записей Active Directory и использовали их для перемещения по сети. В конечном итоге на несколько внутренних серверов были развернуты вредоносные полезные нагрузки (payload) семейства PlugX.

Особый интерес представляет обнаружение нового варианта PlugX, который исследователи назвали MetaRAT. Этот RAT, написанный на C/C++, демонстрирует значительные отличия от классических версий PlugX в методах обфускации строк, структуре и шифровании конфигурационных данных, а также в наборе команд для управления через командный сервер (command and control, C2). Например, для шифрования конфигурации используется алгоритм SUB+XOR, а для связи с оператором поддерживаются протоколы TCP, UDP, HTTP, HTTPS и ICMP. Анализ временных меток компиляции указывает на то, что разработка MetaRAT велась как минимум с 2022 года.

Параллельно с MetaRAT в той же кампании применялся другой вариант PlugX, известный как Talisman. Этот RAT был впервые описан компанией Trellix в 2022 году и также ассоциируется с китайскими APT-группами. Сходство путей к файлам отладки (PDB) в загрузчиках MetaRAT и Talisman позволяет предположить, что оба инструмента могли использоваться одной и той же группой злоумышленников или разными группами, имеющими доступ к общему арсеналу.

Исследователи провели перекрестный анализ инфраструктуры командных серверов и обнаружили, что часть C2-адресов, используемых MetaRAT, пересекается с инфраструктурой, ранее атрибутированной таким группам, как Space Pirates (также известная как RedFoxtrot) и Calypso. Эти группы известны своей деятельностью против государственных учреждений и телекоммуникационных компаний в Центральной и Южной Азии. Кроме того, был выявлен интересный факт: код оболочки (shellcode), используемый для запуска MetaRAT, демонстрирует значительное сходство с аналогичными компонентами других RAT, таких как RainyDay и Turian, что может указывать на общих разработчиков или обмен исходным кодом между различными кампаниями.

В рамках данной конкретной атаки явных признаков кражи конфиденциальных данных обнаружено не было. По мнению аналитиков, основная цель злоумышленников могла заключаться в сборе учетных данных и укреплении позиции внутри сети для возможных будущих операций. Для достижения устойчивости (persistence) MetaRAT использовал либо создание службы Windows с именем «sihosts», либо добавление автозагрузочного ключа реестра «matesile». Также был задействован плагин для перехвата нажатий клавиш (keylogger), который сохранял данные в файл «VniFile.hlp».

Для помощи в обнаружении этой угрозы LAC CEC опубликовал набор индикаторов компрометации и правил детектирования для таких систем, как Suricata/Snort, Splunk, Sigma и YARA. Эти правила позволяют выявлять характерные сетевые сигнатуры C2-коммуникаций MetaRAT, включая специфичные HTTP-заголовки (например, «Cookie-Yaga» или «Cookie-Nguy») и шаблоны путей запросов. Также предоставлены правила для обнаружения вредоносных действий на конечных точках, таких как подмена DLL (DLL side-loading) и создание файлов для перехвата нажатий клавиш.

Этот случай в очередной раз подчеркивает важность своевременного обновления программного обеспечения, особенно на периметровых устройствах. Эксплуатация известных уязвимостей в продуктах Ivanti стала отправной точкой для сложной многоэтапной атаки. Кроме того, инцидент демонстрирует эволюцию классических угроз: давно известные семейства вредоносного программного обеспечения, такие как PlugX, продолжают активно развиваться, приобретая новые функции и методы противодействия анализу, что позволяет им оставаться эффективным инструментом в арсенале современных APT-групп.