Анализ атаки APT Seqrite Labs на китайскую телекоммуникацию

APT-команда Seqrite Labs раскрыла операцию нацеленной атаки против China Mobile Tietong

Исследователи Seqrite Labs выявили и тщательно проанализировали масштабную кибершпионскую кампанию, направленную на ключевой сегмент китайской телекоммуникационной отрасли — компанию China Mobile Tietong Co., Ltd.. В центре внимания оказалась сложная экосистема вредоносного ПО, включающая эксплойты VELETRIX и VShell — инструменты, широко используемые продвинутыми хакерскими группировками, ассоциированными с территорией Китая.

Цепочка атаки и методы заражения

Атака начинается с вредоносного ZIP-файла, обнаруженного исследователями 13 мая. Этот архив содержит обширный набор двоичных файлов и динамически подключаемых библиотек (DLL). Алгоритм заражения включает следующие ключевые компоненты:

• В ZIP-архиве был выявлен исполняемый файл с названием “2025 China Mobile Tietong Co., Ltd. Внутренняя программа обучения”, который действует как приманка для пользователей;
• Этот исполняемый файл загружает вредоносные библиотеки DLL, в том числе drstat.dll, связанную с популярным ПО WonderShare RepairIT;
• Атака использует стороннюю загрузку DLL (DLL sideloading), причем DLL подписаны легитимными цифровыми сертификатами от WonderShare и Shenzhen Thunder Networking Technologies Ltd., что усложняет детекцию.

Примечательно, что этот ZIP-файл был найден и на VirusTotal, что свидетельствует об уже широкой огласке и актуальной угрозе.

Технический анализ вредоносных имплантатов VELETRIX и VShell

Далее был проведен глубокий анализ двух ключевых имплантатов, задействованных в кампании.

VELETRIX — 64-битный сложный эксплойт

VELETRIX представляет собой 64-разрядный вредоносный двоичный код, который применяет сложные методы обхода защиты:

• Используется техника IPFuscation — код вредоносной нагрузки преобразуется в список IPv4-адресов, что позволяет скрыть шелл-код;
• Для декодирования применяется функция Windows API RtlIpV4StringToAddressA, выполняющая полезную нагрузку через обратный вызов (callback);
• Данные механизмы создают видимость легитимной деятельности в системе, что помогает избежать обнаружения.

VShell — кроссплатформенный имплантат с открытым исходным кодом

Анализ вредоносного компонента VShell, работающего в виде имплантата tcp_windows_amd64.dll под Windows, выявил:

• Использование одного и того же ключа salt — qwe123qwe — в 44 идентифицированных вредоносных имплантатах, что указывает на связь с группами Earth Lamia и UNC5174;
• VShell широко известен и эксплуатируется несколькими китайскими хакерскими коллективами для проведения атак на разные цели;
• Эксперты подчеркнули, что подобные совпадения в инфраструктуре свидетельствуют о возможном сотрудничестве либо общих операционных методах между этими группами.

Инфраструктура и инструменты злоумышленников

В ходе расследования была обнаружена сеть серверов управления (C2), на которых размещены известные инструменты для проведения атак:

• Cobalt Strike — платформа для проведения постэксплуатационных операций;
• SuperShell — инструмент для расширенного контроля над заражёнными машинами;
• Серверы использовали разные порты и конфигурации, соответствующие поведению, наблюдаемому в предыдущих кампаниях APT;
• Это подтверждает связь текущей операции с китайскими группами, спонсируемыми государством.

Заключение

Обнаруженная кампания иллюстрирует высокий уровень сложности и взаимосвязи в деятельности китайских продвинутых хакерских групп. Использование легитимных цифровых сертификатов, инновационных методов скрытия полезной нагрузки, а также развертывание аппаратно- и программно-комплексной инфраструктуры подтверждают серьезность угрозы для телекоммуникационной отрасли Китая и потенциально для глобальной кибербезопасности.

Дальнейшие исследования и мониторинг ситуации являются необходимыми для своевременного выявления и нейтрализации подобных угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.