Тонкая атака китайской APT-группы на российское производство: компрометация через подрядчика и бэкдор ShadowPad

Атака началась с компрометации сервисной учетной записи, принадлежавшей подрядной организации. Эта учетная запись имела законный доступ во внутреннюю сеть предприятия через шлюз VPN Check Point. Воспользовавшись украденными учётными данными, атакующие установили подключение по протоколу RDP (Remote Desktop Protocol) к внутренним системам, получив тем самым первоначальную точку опоры. Этот метод, классифицируемый в таксономии MITRE ATT&CK как T1199 (использование доверенных отношений), позволяет обходить многие средства защиты периметра, так как трафик исходит от якобы легитимного источника.

Получив доступ, злоумышленники приступили к классической разведке внутренней инфраструктуры. Используя исключительно встроенные системные утилиты Windows, такие как "net", "nltest" и "netstat", они собирали информацию о группах администраторов домена, доверительных отношениях, активных сессиях пользователей и сетевой топологии. Подобные действия, будучи стандартными для системных администраторов, часто сливаются с фоновым шумом, что затрудняет их обнаружение базовыми средствами контроля. Однако современные системы класса EDR (обнаружение и реагирование на конечных точках), входящие в комплекс F6 MXDR, зафиксировали эту подозрительную активность, что впоследствии позволило восстановить полную картину атаки.

Ключевым этапом стало исполнение вредоносного кода. Атакующие применили изощрённую технику, известную как DLL Sideloading (T1574.001). Суть её в том, что злоумышленники помещают вредоносную динамическую библиотеку (DLL) в каталог, откуда её загружает легитимное приложение, подписанное цифровой подписью. В данном случае использовались уязвимые версии коммерческих программ Ghostscript ("gswin64c.exe") и ASUS U3 Boost ("U3BoostSvr.exe"). Для запуска атакующие удалённо создавали временные системные службы, указывая в качестве исполняемого файла эти легитимные программы. После запуска службы и загрузки вредоносных библиотек "gsdll64.dll" и "cbLOC.dll" вредоносный код выполнялся в контексте доверенного процесса, эффективно маскируясь.

Полезной нагрузкой в этой атаке стал продвинутый бэкдор ShadowPad, который аналитики Центра кибербезопасности F6 атрибутировали как инструмент, активно используемый китайскими APT-группами. Этот бэкдор отличается сложным механизмом конфигурации и загрузки. Его загрузчики хранят основное тело в зашифрованном виде либо в файловой системе, либо в реестре Windows, причём путь к данным генерируется на основе временной метки из заголовка самого файла-загрузчика. После расшифровки шелл-код внедряется в специально запущенные системные процессы, такие как "WinMail.exe" или "wmpnetwk.exe", с нестандартными параметрами командной строки. Для скрытия следов вредоносное ПО создавало файлы нулевого размера, замещающие оригинальные компоненты.

Для горизонтального перемещения по сети и закрепления в системе злоумышленники продолжали использовать штатные средства. Они удалённо создавали и запускали службы на других компьютерах с помощью утилиты "sc.exe", а для обеспечения автозагрузки модифицировали записи в реестре (раздел "RUN") и создавали запланированные задачи. Коммуникация с командными центрами злоумышленников осуществлялась через DNS-туннелирование, что позволяло маскировать передачу данных под легитные DNS-запросы к публичным серверам.

Анализ сетевой инфраструктуры и тактик, приёмов и процедур (TTPs) выявил пересечения с известными кампаниями китайских APT-групп, такими как APT41 и APT15. Например, на одном из IP-адресов, связанных с атакой, был обнаружен SSL-сертификат, имитирующий принадлежность к Intel Corporation, который ранее фигурировал в отчётах зарубежных компаний по безопасности. При этом однозначная атрибуция конкретной группе затруднена, так как бэкдор ShadowPad является общим инструментарием, используемым несколькими операторами. Важно отметить, что аналогичные образцы вредоносного ПО в тот же период загружались в публичные песочницы из Бразилии, Хорватии и Румынии, что указывает на широкий географический размах кампании.

Последствия подобной успешной атаки для промышленного предприятия могут быть крайне серьёзными. Помимо прямого кибершпионажа - кражи технологической документации, чертежей или данных о производственных процессах - злоумышленники получают возможность для диверсий. Внедрение в систему управления технологическими процессами (АСУ ТП) может привести к остановке производства, порче оборудования или даже к созданию предпосылок для техногенных аварий. Кроме того, полученный доступ может быть продан или использован для последующего развёртывания программ-вымогателей, что вызовет прямой финансовый ущерб и репутационные потери.

Данный инцидент наглядно демонстрирует, что традиционная модель безопасности, сфокусированная на защите периметра, больше не достаточна. Угроза всё чаще приходит по легитимным каналам, через партнёров и подрядчиков. В свете этого критическую важность приобретает реализация принципа "никому не доверяй" (Zero Trust), усиленный мониторинг активности привилегированных и сервисных учётных записей, а также развёртывание продвинутых систем класса XDR, способных коррелировать события с конечных точек, сети и облачных сред для выявления сложных многоэтапных атак. Бдительность в отношении цепочек поставок и тщательный аудит доступа третьих сторон становятся не просто рекомендацией, а обязательным элементом стратегии промышленной кибербезопасности.

IPv4

• 138.199.21.251
• 177.136.225.191
• 192.144.23.37
• 193.56.255.178
• 86.106.85.51

Domains

• *.axb1.com
• *.freecountrys.com
• *.reasonsbatesystem.xyz
• *.threat7858.info
• *.trustaviators.top

SHA1

• 2b9851ea8fafbc0d66f346cba8965a683522c67b
• 31693c3129c89942f178c9a16f584d881a5ab7c7
• 681f1d27e391dcb54dfa9805e52a6b6f76d549e3
• 9e2f1a1b3c5d16d744864f1ad2e8aabf94097b28
• a05405e90087aeb57326a4f54bcc455dd0c20e2b
• d54e47741c6858cabd16c0cb7d9919c9d5559f59
• ec76dc98a3673be08d997974def855d5310c38f6
• ee1c6f778363b0395a08e1d918a96a2123a51110
• f5ea8e39139e8eb12f746f32fe23e682d67ba237