СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
20.06.2025
#Dev#ИБ#Инфра

Анализ APT Cloaked Shadow: Тактики и угрозы для российских компаний

Анализ APT Cloaked Shadow: Тактики и угрозы для российских компаний

APT-группа Cloaked Shadow нацелена на крупные российские компании: особенности тактик и методов

Недавно выявленная APT-группа Cloaked Shadow («Скрытая тень») проявила повышенную активность в отношении крупнейших российских компаний, преимущественно в оборонном и IT-секторах. Основная цель злоумышленников — промышленный и кибершпионаж с использованием сложных и малоизученных техник, позволяющих оставаться незамеченными на протяжении длительного времени.

Особенности используемых методов и инструментов

Для сокрытия своей деятельности Cloaked Shadow применяет передовые приемы, среди которых:

  • Очистка журналов событий (логи), что позволяет устранять следы проникновения.
  • Отслеживание и подделка временных меток, скрывающих время запуска вредоносных компонентов.
  • Использование сложных методов противодействия идентификации и корреляции событий.

Особенностью группы является широкое использование инструментов с открытым исходным кодом, которые обычно не вызывают подозрений у систем безопасности. Их деятельность преимущественно ориентирована на операционные системы Linux.

Механизмы проникновения и распространения в сетях жертв

Для получения доступа Cloaked Shadow использует:

  • Запланированные задачи (scheduled tasks) в инфраструктуре Windows;
  • Законные учетные записи с повышенными привилегиями, в частности учетную запись ansible, распространённую в больших Linux-средах;
  • Уязвимости серии ESC (Enterprise Security Configuration);
  • Кражу учетных данных и паролей из процессов, работающих с памятью, например сброс учетных данных из процесса LSASS;
  • Эксплуатацию доменных учетных записей, полученных под контролем Linux-систем;

Для перемещения по сетям злоумышленники создают сложные цепочки из скомпрометированных серверов — часто более пяти узлов. Такая модел позволяет не только углубиться в инфраструктуру, но и скрыть источник и цель атаки.

Интересен факт, что локальные серверы жертв могут быть перепрофилированы в роли серверов управления (C2), что даёт Cloaked Shadow дополнительные возможности доступа к различным сегментам корпоративной сети.

Шпионаж и кража данных

Во время этапа фильтрации данных группа сосредоточена на конфиденциальной информации:

  • Домашних каталогах пользователей;
  • Паролях и криптографических ключах;
  • Сертификатах и секретных документах.

Для этого используются специально разработанные загрузчики формата ELF, которые:

  • Шифруют полезную нагрузку (payload);
  • Создают дочерние процессы для маскировки действий;
  • Интегрируются с такими инструментами, как Dropbear и reverse-SSH, что помогает обходить логи и системы обнаружения.

Модификация Dropbear включает внедрение SSH-ключей непосредственно в исполняемые файлы и блокировку аутентификации по паролю. Это обеспечивает стабильный и незаметный доступ к системам жертв.

Скрытие следов и маскировка деятельности

Сотрудники Cloaked Shadow применяют сложные методы скрытия, в том числе:

  • Удаление журналов регистрации ключей;
  • Манипуляции с временными метками для сокрытия времени создания и модификации вредоносных файлов;
  • Использование механизма монтирования в procfs для скрытия запущенного вредоносного ПО;
  • Маскировку серверов управления (C2) под обычные сервисы, например подключение к сервису youtube-dl, что значительно снижает риск обнаружения.

Эволюция вредоносных инструментов и перспективы угрозы

По мере развития Cloaked Shadow начинает переходить от использования базовых открытых инструментов к более сложным проприетарным вредоносным программам. Ключевые тенденции включают:

  • Использование туннелей DNS для коммуникации с C2;
  • Шифрование строк и частей кода для предотвращения анализа и обнаружения;
  • Внедрение бэкдоров, связывающихся с управляющими серверами посредством DNS-запросов.

Аналитики подчеркивают, что понимание этих инструментов, тактик, техник и процедур (TTP) является критически важным для разработки эффективных стратегий защиты и своевременного обнаружения атак.

«Постоянное наблюдение за активностью Cloaked Shadow позволяет ускорить обновление рекомендаций по кибербезопасности и расширить набор индикаторов компрометации (IOC) для последующих расследований», — отмечают эксперты.

Заключение

APT-группа Cloaked Shadow демонстрирует высокоорганизованную и целенаправленную деятельность, используя изощренные методы, которые затрудняют обнаружение и противодействие. Российским компаниям в оборонном и IT-секторах необходимо усилить мониторинг и контролировать аномалии, связанные с использованием Linux-систем, а также обращать внимание на признаки скрытой активности, такие как необычные цепочки внутренних серверов и нестандартное поведение сервисов управления.

Для обеспечения безопасности важно постоянно обновлять знания о новых TTP, а также внедрять технологии, позволяющие выявлять даже самые латентные угрозы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: