СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
21.05.2025
#ИБ#Инфра

Анализ угроз: действия китайской группы Aquatic Panda 2016–2023

Анализ угроз: действия китайской группы Aquatic Panda 20162023

Aquatic Panda: Китайская APT-группа, угрожающая глобальной кибербезопасности

За последние семь лет мир кибербезопасности сталкивался с многочисленными угрозами, и одной из самых заметных стала деятельность группы Aquatic Panda. Эта хакерская организация, предположительно связанная с Министерством государственной безопасности Китая (МГБ), специализируется на сборе разведданных и промышленном шпионаже. Их операции охватывают широкий спектр целей и географических регионов, что делает эту группу одной из наиболее опасных игроков на глобальной арене киберугроз.

Общие сведения и тактики работы

Aquatic Panda действует примерно с 2016 по 2023 год и ориентируется на:

  • правительственные учреждения;
  • некоммерческие организации (НПО);
  • академические институты;
  • СМИ.

Основная цель – сбор информации, отвечающей стратегическим интересам Китая.

В индустрии кибербезопасности Aquatic Panda известна под разными именами, включая Earth Lusca и Charcoal Typhoon. Все специалисты сходятся во мнении, что группа ставит перед собой задачу долгосрочного шпионажа с использованием сложных техник вторжений.

Технологии и методы вторжений

Начальный этап атак Aquatic Panda связан с эксплуатацией уязвимостей в публично доступных приложениях для получения первичного доступа к сетям жертв. В арсенале группы — модульное вредоносное ПО, преимущественно ShadowPad, обеспечивающее широкий набор функций, в том числе:

  • кейлоггинг;
  • эксфильтрация файлов;
  • постоянный контроль за системами жертв.

Особенностью вредоносного ПО является высокая степень запутанности — оно хранится в зашифрованном виде на диске и расшифровывается только в памяти. Такой подход значительно осложняет обнаружение вредоносных компонентов статическими методами.

Коммуникация с инфраструктурой злоумышленника осуществляется посредством:

  • зашифрованных каналов связи;
  • пользовательских алгоритмов генерации доменов (custom Domain Generation Algorithms, DGA),

<pчто обеспечивает устойчивый контроль над скомпрометированными системами. Важной составляющей тактики являются атаки типа „водопой“ (watering hole) и внедрение вредоносных скриптов на легитимные веб-сайты для перенаправления потенциальных жертв.

География и мишени атак

Aquatic Panda ведет глобальные операции с задокументированной активностью в Азии, Европе и Северной Америке. Среди пострадавших оказались:

  • правительственные учреждения Тайваня и Таиланда;
  • католическая организация в Венгрии;
  • геополитический аналитический центр во Франции.

Это демонстрирует, что группа интересуется не только политической и военной сферой, но и идеологическим влиянием, подтверждая широкий спектр своих разведывательных задач.

Особенности стратегий и сотрудничество с другими группами

Методы работы Aquatic Panda ориентированы на поддержание долгосрочного доступа к системам, а не на быстрое извлечение данных. Это доказывают:

  • использование специализированных имплантатов;
  • стратегии постоянного присутствия в сетях;
  • обмен инструментами и методологиями с другими APT-группами, особенно с Winnti Group, известной компромиссами в цепочках поставок.

Такое сотрудничество подчеркивает взаимосвязанность китайских кибер-игроков и их согласованность в рамках общей стратегии.

Текущая ситуация и рекомендации для защиты

Несмотря на разоблачения i-Soon — технологического подрядчика, тесно связанного с Aquatic Panda — и связанные с этим операционные проблемы, основная структура китайской киберстратегии остается устойчивой благодаря другим частным подрядчикам. Это требует от организаций принятия комплексных мер безопасности.

Рекомендации по защите включают:

  • регулярное исправление и обновление подключенных к Интернету сервисов;
  • развертывание брандмауэров веб-приложений (WAF);
  • использование поведенческого обнаружения на конечных точках;
  • мониторинг аномалий, особенно связанных с зашифрованным DNS-трафиком;
  • применение информации об угрозах в режиме реального времени для повышения видимости и предсказуемости атак.

Принятие упреждающего и многоуровневого подхода позволяет снизить риски, связанные с одними из самых настойчивых и изощренных хакеров современности.

Aquatic Panda — пример того, как государственные структуры используют сложные киберинструменты для достижения стратегических целей, требующих постоянного внимания мирового сообщества и адаптивных методов защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: