Операция CamelClone: атаки на госсектор четырёх стран обходятся публичными файлообменниками

В условиях роста геополитической напряжённости угрозы информационной безопасности всё чаще становятся инструментом стратегического сбора разведданных. Недавно обнаруженная кампания, нацеленная на государственные и военные структуры Алжира, Монголии, Украины и Кувейта, наглядно демонстрирует эту тенденцию. Её уникальность заключается в отказе злоумышленников от традиционной инфраструктуры командования и управления (C2) в пользу легитимных публичных сервисов, что серьёзно осложняет детектирование на сетевом уровне.

Описание

Эксперты Seqrite Labs, отслеживающие деятельность групп APT, идентифицировали серию атак, получившую внутреннее обозначение Operation CamelClone. Целями стали министерства, органы обороны, дипломатические ведомства и стратегические энергетические секторы. На первый взгляд, выбранные страны не образуют очевидной связи, однако каждая играет ключевую роль в современных международных отношениях. Украина остаётся эпицентром активного конфликта. Алжир, как крупный экспортёр энергоресурсов, находится в сфере конкурирующих интересов Европы, России и Китая. Монголия, углубляющая связи с Москвой и Пекином, представляет высокую ценность для разведки. Кувейт же является важным партнёром в области безопасности в регионе Персидского залива.

Инфекционная цепочка во всех случаях начиналась с фишингового письма, содержащего ZIP-архив. Его название соответствовало тематике целевой организации: например, «وزارة_السكن_والعمران_والمدينة.png.zip» («Министерство жилищного строительства, городского развития и города») для Алжира или «Weapons requirements for the Kuwait Air Force.zip» («Требования к вооружениям для ВВС Кувейта»). Внутри архива находилось изображение с официальной символикой (логотип министерства или эмблема вооружённых сил) и файл ярлыка (LNK). Именно этот ярлык, маскирующийся под документ, запускал вредоносную последовательность действий.

Технический анализ показал, что при открытии LNK-файла исполняется команда PowerShell. Она загружает из интернета следующий этап полезной нагрузки - скрипт-загрузчик на JavaScript, который исследователи назвали HOPPINGANT. Важно отметить, что весь вредоносный контент размещался не на выделенных злоумышленниками серверах, а на публичном анонимном файлообменнике filebulldogs[.]com. Этот подход позволяет атакующим легко менять пути к файлам и избегать блокировок. Специалисты Seqrite Labs обнаружили, что загрузчик, в свою очередь, извлекает и запускает легитимную программу для синхронизации файлов - Rclone.

Использование доверенного инструмента администрирования, такого как Rclone, является классическим приёмом «живи-за-счёт-земли» (Living off the Land), позволяющим избегать срабатывания сигнатур антивирусов. Сконфигурированный скриптом, Rclone подключался к облачному хранилищу MEGA, используя учётные данные от анонимной почтовой службы onionmail.org. Его задача заключалась в эксфильтрации документов с рабочего стола жертвы (.doc, .pdf, .txt) и данных сессий мессенджера Telegram. Таким образом, вся цепочка - от доставки до вывода данных - была построена на злоупотреблении общедоступными и легальными сервисами.

Расследование выявило высокую степень согласованности кампаний. Во всех образцах использовался один и тот же загрузчик HOPPINGANT, идентичные параметры настройки Rclone (12 потоков, лимит пропускной способности) и один ключ для простого XOR-шифрования паролей к аккаунтам MEGA. Это указывает на работу одной и той же группы. Хотя прямое присвоение кампании известной APT-группе пока невозможно, характер целей и тематика приманок однозначно свидетельствуют о разведывательных, а не финансовых мотивах. Атакующий явно интересуется внешней политикой, оборонным потенциалом и дипломатическими связями государств, находящихся на перекрёстке интересов крупных держав.

Данная кампания служит тревожным напоминанием для организаций, особенно в государственном и оборонном секторах. Традиционные средства защиты, сфокусированные на блокировке известтных вредоносных доменов и IP-адресов, могут оказаться неэффективными против атак, использующих доверенные публичные платформы. В качестве мер смягчения угроз эксперты рекомендуют ужесточить политики фильтрации вложений электронной почты, блокировать выполнение скриптов (в частности, PowerShell) из временных каталогов для обычных пользователей, а также внедрять решения для мониторинга аномальной сетевой активности, включая нехарактерные подключения к облачным хранилищам. Понимание тактик, описанных в рамках MITRE ATT&CK, таких как использование легитимных средств и злоупотребление доверенными сервисами, становится критически важным для построения эффективной обороны.