СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
13 марта
#ИБ

CL-STA-1087 — шпионская операция, нацеленная на военные организации Юго-Восточной Азии

Исследователи выявили сложную шпионскую операцию, получившую обозначение CL-STA-1087, направленную на военные структуры в Юго‑Восточной Азии. По данным анализа, кампания действует как минимум с 2020 года и, вероятно, спонсируется государственным актором из Китая. Особенность операции — целенаправленный сбор военной разведывательной информации, а не массовая кража данных.

Что известно о целях и продолжительности кампании

CL-STA-1087 ориентирована на военные организации региона. Активность кампании носит устойчивый и методичный характер: злоумышленники закрепляются в инфраструктуре жертв и длительное время скрытно собирают ценные сведения. Действия злоумышленников коррелируют с рабочим временем в регионах, соответствующих Китаю, что усиливает версию о государственном подтексте операции.

«Кампания демонстрирует четкую временную схему активности, согласованную с рабочим временем в таких регионах, как Китай, что указывает на методичный подход к шпионажу.»

Ключевые инструменты и их возможности

В деятельности CL-STA-1087 выявлены три основных компонента:

  • AppleChris — бэкдор с множеством вариантов (например, Dropbox и Tunneler), способный управлять системой, осуществлять эксфильтрацию файлов и создавать сетевые туннели. Варианты AppleChris используют разные методы Закладки с данными (DDR) для получения IP-адресов серверов C2 через общую учетную запись Pastebin, что позволяет обходить традиционные средства обнаружения.
  • MemFun — модульный бэкдор, работающий полностью в памяти; применяет process hollowing для внедрения кода в легитимные процессы без записи на диск. Обеспечивает динамическую связь с серверами C2 через кастомные HTTP‑запросы и сеансно-зависимые механизмы шифрования.
  • Getpass — инструмент, представляющий собой адаптированную версию Mimikatz, предназначенную для скрытого сбора учетных данных. Использует техники защиты от криминалистического анализа (timestomping) и повышение привилегий; извлекает данные аутентификации из памяти Windows и сохраняет их в файл, маскирующийся под законную системную базу данных.

Операционная методология и движение по сети

Операторы CL-STA-1087 демонстрируют сложную стратегию с многоэтапным закреплением:

  • Изначально злоумышленники создавали бездействующую (dormant) точку доступа, которая позднее активировалась для выполнения вредоносных PowerShell‑скриптов и установки обратных оболочек (reverse shells) на серверы C2.
  • После размещения на неуправляемой конечной точке злоумышленники расширяли присутствие по сети, используя WMI и команды .NET для латерального передвижения и развёртывания вариантов вредоносного ПО, при этом поддерживая стабильную работу инфраструктуры жертвы.
  • Для поддержания связи и скрытности использовались разнообразные техники, включая DLL hijacking и модифляцию процессов.

Тактики уклонения и скрытности

Кампания применяет комплекс методов, направленных на долговременное пребывание в сети жертвы и избегание детекции:

  • Таймеры ожидания и другие механизмы задержки активности для обхода систем безопасности.
  • Полностью бездисковые техники (работа в памяти) — в частности, MemFun с process hollowing.
  • Использование внешних сервисов (например, Pastebin) и многообразных вариантов вредоносных модулей для усложнения обнаружения сигнатурными средствами.
  • Защита похищенных учетных данных с помощью timestomping и маскировки файлов под системные объекты.

Инфраструктура и устойчивость операции

Злоумышленники поддерживают распределённую инфраструктуру, включающую несколько IP‑адресов серверов C2, развёрнутых через облачные сервисы. Такое разделение помогает обеспечить устойчивость операций, отказоустойчивость и затрудняет аналитику и блокировку инфраструктуры.

Выводы

CL-STA-1087 — пример целенаправленной, длительной и технически продвинутой шпионской кампании, нацеленной на сбор военной разведывательной информации в Юго‑Восточной Азии. Применяемые техники — от скрытой работы в памяти до использования общедоступных сервисов для доставки команд и обновлений — свидетельствуют о высоком уровне организации и опыте со стороны операторов. Совокупность признаков, включая временную синхронизацию активности, указывает на методичный и вероятно государственно спонсируемый характер операций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: