Bookworm и Stately Taurus: подтверждённая связь по TTP и PDB

Краткое введение: Отчёт Unit 42 посвящён исследованию семейства вредоносного ПО Bookworm и оценке его связи с известной хакерской группировкой Stately Taurus. В основе методики атрибуции — объективный анализ технических характеристик и операционного поведения, а не субъективные оценки. На основе сопоставления TTP, сетевой инфраструктуры, методов получения доступа и артефактов в бинарях аналитики выстраивают аргументы в пользу причинно-следственных связей между оператором и инструментом.

«При анализе … используется система атрибуции Unit 42, в которой основное внимание уделяется техническим характеристикам и операционному поведению, а не субъективным оценкам.»

Кто и что такое Bookworm

Bookworm — продвинутый троян удалённого доступа (RAT), впервые идентифицированный в 2015 году. Он предоставляет операторам широкий набор возможностей для управления скомпрометированными системами и гибкой реализации задач кибершпионажа. За годы наблюдений вредоносное ПО эволюционировало, адаптируя методы работы и расширяя функциональность, что обеспечивает его постоянную релевантность для атак длительного наблюдения.

Ключевые технические и операционные маркеры

Анализ выделяет несколько устойчивых признаков, связывающих Bookworm со Stately Taurus:

• Использование targeted phishing как основного метода получения первоначального доступа — модель, широко ассоциируемая со Stately Taurus.
• Параллельная эксплуатация других инструментов, в частности ToneShell, которые в реальности используются исключительно Stately Taurus.
• Нахождение совпадающего пути PDB в образцах как Bookworm, так и ToneShell — признак повторяющихся операционных шаблонов и возможного общего происхождения сборок.
• Эволюция возможностей вредоносного ПО, позволяющая адаптировать методы доставки и уклонения, что характерно для целевых кампаний кибершпионажа.

Сетевая инфраструктура и её значимость для атрибуции

При оценке сетевых артефактов аналитики различают их по степени значимости для атрибуции:

• Постоянные URL и домены имеют высокую аналитическую ценность — их связь с оператором устойчивее и труднее подделать.
• Временные IPv4-адреса считаются менее достоверными индикаторами авторства из‑за их подвижности и более лёгкой сменяемости.

Модели таргетинга и географическая фокусировка

Модель таргетинга Bookworm тесно совпадает с историческими интересами Stately Taurus:

• Основная цель атак — правительственные учреждения и критически важная инфраструктура в Юго‑Восточной Азии.
• Сочетание выбранных целей, используемых техник и времени активности создаёт устойчивую корреляцию с ранее зафиксированными операциями Stately Taurus.

Временная корреляция кампаний

Временной анализ показывает, что всплески активности Bookworm совпадают с периодами известных операций Stately Taurus, в частности с сериями атак против правительственных объектов Юго‑Восточной Азии. Такая синхронизация увеличивает уверенность аналитиков в наличии операционной связи между инструментом и группировкой.

Что делает доказательство сильным

Сочетание нескольких независимых элементов повышает достоверность атрибуции:

• повторяющиеся TTP и модель initial access (targeted phishing);
• наличие общих инструментов (ToneShell);
• совпадающие артефакты сборки (PDB-пути);
• пространственно‑временное совпадение целей и активности;
• устойчивая инфраструктурная привязка через домены/URL.

Выводы

На основании системного подхода Unit 42 к атрибуции можно сделать обоснованное заключение: Bookworm демонстрирует достаточный набор технических и операционных признаков, которые в совокупности указывают на тесную связь с группировкой Stately Taurus. Ни один отдельный индикатор не является абсолютным доказательством, однако совокупность совпадающих TTP, совместно используемых инструментов, PDB‑артефактов и геотемпоральной корреляции усиливает общую уверенность аналитиков в этой связи.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.