СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
6 апреля
#ИБ#Облака

APT41 атакует Linux-бэкдором через облачную инфраструктуру

Недавний анализ сложной Advanced Persistent Threat (APT), связанной с APT41, также известной как Winnti, показывает, как группа продолжает развивать свои инструменты для скрытных атак на корпоративные и облачные среды. В центре расследования — масштабный Linux backdoor, ориентированный на устойчивое закрепление в инфраструктуре и кражу данных, включая cloud credentials и sensitive metadata.

Что обнаружили исследователи

Вредоносное ПО представляет собой ELF x86_64 binary объёмом около 2,7 MB. По данным анализа, образец отличается обширной обфускацией, из-за чего его статический разбор затруднён без применения advanced devirtualization tools.

Backdoor предназначен для подключения к трём специально созданным command and control (C2) domains, которые маскируются под легитимные китайские технологические компании. Дополнительно используются typosquatted домены, рассчитанные на ошибки восприятия со стороны специалистов и сетевых защитников.

  • ELF x86_64 binary размером 2,7 MB;
  • обширная obfuscation структуры;
  • подключение к трём C2 domains;
  • использование typosquatted доменов;
  • маршрутизация трафика через один cloud IP-адрес Alibaba.

Скрытый канал связи через port 25

Особое внимание аналитиков привлёк выбор port 25, обычно связанного с SMTP. Именно этот порт используется в качестве скрытого канала связи с C2. Такой подход позволяет вредоносному трафику сливаться с обычной электронной почтой, а значит — реже попадать в поле зрения security controls.

Все три домена, связанные с backdoor, сходятся на одном cloud IP-адресе Alibaba, который, по данным отчёта, оставался незамеченным более двух лет. Это указывает на высокую степень подготовленности инфраструктуры и нацеленность на долгосрочное скрытое присутствие.

Угроза для cloud environments

Отдельно отмечается способность вредоносного ПО собирать cloud metadata у крупных провайдеров, включая AWS, GCP, Azure и Alibaba Cloud. Для этого используется well-known link-local address 169.254.169.254, с которого извлекаются конфиденциальные данные, в том числе API tokens и instance credentials.

Такой механизм может привести к компрометации всей cloud account, если злоумышленникам удастся получить доступ к привилегированным данным экземпляра или служебным токенам.

Возможность lateral movement внутри сети

Backdoor также обладает функциями lateral movement. Для обнаружения других хостов в той же сети имплантат использует UDP broadcast packets. В сочетании с возможностью сбора credentials это существенно расширяет потенциальный радиус поражения внутри скомпрометированной среды.

По сути, речь идёт не только о скрытом удалённом управлении, но и о наборе функций, позволяющих атакующим развивать доступ внутри инфраструктуры после первоначального проникновения.

Атрибуция и связь с Winnti

Атрибуция кампании тесно связана с APT41. Исследователи приводят evidence, подтверждающие связь с предыдущими operations группы Winnti. Это ещё раз указывает на устойчивую эволюцию инструментов, которые, по оценке аналитиков, развиваются в рамках длительных и ресурсно обеспеченных кампаний, приписываемых state-sponsored actors.

«Эволюция этого APT подчёркивает постоянную угрозу со стороны спонсируемых государством акторов, использующих передовые методы для компрометации critical infrastructure».

Меры обнаружения и рекомендации

В отчёте также упомянуты меры detection, включая YARA rules, ориентированные на:

  • обфускацию ELF-структуры;
  • сбор cloud metadata;
  • паттерны, связанные с C2 communications.

Аналитикам безопасности рекомендуется отслеживать:

  • specific DNS queries, связанные с выявленными доменами;
  • outbound connections к указанному cloud IP-адресу Alibaba;
  • попытки доступа к cloud metadata со стороны аномальных processes.

Вывод

Исследованный Linux backdoor демонстрирует, как современные APT-группы сочетают obfuscation, cloud abuse, covert C2 channels и lateral movement для длительного закрепления в целевой среде. В случае с APT41 / Winnti речь идёт о хорошо организованной и постоянно совершенствуемой угрозе, способной поражать не только отдельные хосты, но и критически важную cloud-инфраструктуру.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: