Cloaked Shadow: ReverseSocks5, DNS‑туннели и скрытые бэкдоры

Источник: habr.com
Группа Cloaked Shadow, идентифицированная исследователями как часть Shadow Alliance, действует как минимум с 2023 года и преимущественно нацелена на российские компании. Отчёт демонстрирует сложный набор инструментов и тактик, ориентированных на создание внутренних сетевых туннелей и долговременное присутствие в инфраструктурах жертв.
Краткие факты
- Cloaked Shadow действует с 2023 года и нацелена в основном на российские компании.
- Инструментарий включает ReverseSocks5, обратные ssh-бэкдоры, кастомные дропперы и память-ориентированные загрузчики.
- Зафиксировано появление нового актора в 2025 году с самописным бэкдором, использующим DNS tunneling.
- Артефакты указывают на сходство некоторых методов с Vasilek и Cyberpartisans-BY.
- Группа сохраняла постоянное присутствие в инфраструктурах жертв, несмотря на активность других акторов.
Инструменты и методы атаки
Инструментарий Cloaked Shadow включает ряд вредоносных и пользовательских программ, предназначенных для проксирования и туннелирования трафика внутри скомпрометированных сетей. Среди ключевых компонентов:
- ReverseSocks5 — бэкдор, функционирующий подобно одноимённому проекту на GitHub, что указывает на возможное повторное использование открытого кода.
- Обратные ssh-бэкдоры — позволяют злоумышленникам подключаться к proxy-серверу socks5 и организовывать каналы связи внутри сети жертвы.
- Пользовательские дропперы — для запуска полезных нагрузок непосредственно в памяти, сокращая следы в файловой системе.
- Загрузчик, связанный с ранее известной группой GOFFEE_LLoader, как пример memory-only выполнения.
Эти инструменты оптимизированы для построения необнаружимых внутренних сетевых туннелей и минимизации записей в логах ОС: злоумышленники получают доступ «с минимальными следами, оставляемыми в журналах операционной системы».
Новый актор 2025 года и DNS tunneling
Анализ выявил появление нового актора, отличающегося самописным, сложным бэкдором, использующим DNS tunneling для связи командования и контроля (C2). Бэкдор намеренно запутан, чтобы затруднить обнаружение, и демонстрирует сходство с бэкдором Vasilek. По характеристикам он также соотносится с поведением Cyberpartisans-BY, ранее связанной с громкими атаками против крупных российских компаний.
Функциональные возможности инфраструктуры
Инфраструктура вредоносного ПО предоставляет широкий набор функциональных возможностей для управления компрометированными хостами:
- Выполнение команд оболочки через
/bin/sh; - Создание подключений к proxy-серверам socks5 и организация каналов связи;
- Управление несколькими сеансами как с серверами C2, так и с серверами socks5;
- Протокол обмена включает отправку специализированных кодов операций для передачи команд и статусов, связанных с сеансами оболочки и прокси-соединениями;
- Коды операций реализуют выполнение асинхронных команд, закрытие сеансов и управление обменом данными между подпрограммами.
Такая архитектура позволяет обеспечить бесперебойную работу даже в сложных и шумных сетевых условиях.
Устойчивость присутствия и эволюция тактик
Данные указывают, что Cloaked Shadow сохраняла постоянное присутствие в инфраструктурах жертв, несмотря на деятельность других групп (например, GOFFEE), которые, по-видимому, прекратили активность. Это подчёркивает эволюцию методов атак и растущую изощрённость злоумышленников в долгосрочных кампаниях.
«Инструменты отлично подходят для построения необнаружимых внутренних сетевых туннелей»
В совокупности наблюдаемые техники — от повторного использования открытого кода до сложных самописных C2-каналов через DNS tunneling — демонстрируют, что противники всё активнее внедряют методы, затрудняющие обнаружение и атрибуцию атак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



