Earth Estries APT: эксплуатация уязвимости WinRAR, Snappybee и ShadowPad

Актор сложной целенаправленной угрозы Earth Estries, связанный с Китаем и относящийся к категории APT, вновь проявил активность. В недавних операциях группа эксплуатировала недавно выявленную уязвимость в WinRAR, что позволило злоумышленникам выполнить вредоносный шелл-код и развернуть несколько имплантатов, включая Snappybee (Deed RAT) и ShadowPad. Отчёт подчёркивает эволюцию тактик и высокий риск для организаций, использующих широко распространённое ПО без своевременного патчирования.

«Эта уязвимость играет решающую роль в их методологии атаки, позволяя им выполнять вредоносный шелл-код в целевых системах.»

Ключевые выводы

• Эксплуатация WinRAR: уязвимость в WinRAR используется как первичный вектор получения доступа.
• Многообразие имплантатов: злоумышленники применяют Snappybee (Deed RAT) и ShadowPad для удалённого управления, эксфильтрации данных и поддержания доступа.
• Целенаправленность: операции демонстрируют типичную для APT последовательность — компрометация, развёртывание бэкдоров, удержание доступа и сбор данных.
• Необходимость патчей: использование уязвимостей в широко применяемом ПО делает своевременное обновление критическим элементом защиты.

Ход атаки — упрощённый сценарий

• Актор находит или получает доступ к целевой системе через эксплойт уязвимости в WinRAR.
• Выполняется вредоносный шелл-код, обеспечивающий начальный контроль над системой.
• Злоумышленники внедряют имплантаты — например, Snappybee (Deed RAT) или ShadowPad.
• Дальше осуществляется разведка внутри сети, расширение привилегий, хранение механизмов постоянного доступа и эксфильтрация данных.

Имплантаты и их возможности

• Snappybee (Deed RAT): RAT-функциональность для удалённого управления, выполнения команд, кражи файлов и поддержания подключения.
• ShadowPad: модульная платформа с возможностями бэкдора, загрузчика дополнительных модулей, сбора разведданных и отправки их на C2.

Почему это опасно

Эксплуатация уязвимостей в широко используемом ПО, таком как WinRAR, даёт злоумышленникам масштабный «вектор входа» — многочисленные организации и пользователи остаются потенциально уязвимыми. Комбинация эксплойта и мощных имплантатов приводит к высокой вероятности длительного скрытого присутствия в сети и потере критичных данных.

Рекомендации для организаций

• Немедленно проверить использование WinRAR в инфраструктуре и установить официальные обновления/патчи.
• Внедрить EDR/XDR‑решения и настроить детектирование аномалий и характерных индикаторов компрометации для Snappybee/ShadowPad.
• Ограничить привилегии пользователей и уязвимые сервисы, применять принцип наименьших привилегий.
• Реализовать сегментацию сети и контроль доступа между критичными сегментами.
• Проводить регулярные бэкапы и проверять их целостность; настроить планы восстановления после инцидентов.
• Использовать threat intelligence для отслеживания индикаторов и обновлять правила детектирования в средствах защиты.
• Обучить персонал распознаванию фишинговых сообщений и опасных вложений, которые часто используются для доставки эксплойтов.

Вывод

Текущая активность Earth Estries ещё раз демонстрирует, что своевременное исправление уязвимостей в широко используемом ПО — не опция, а необходимость. Комбинация эксплойта WinRAR и мощных имплантатов, таких как Snappybee (Deed RAT) и ShadowPad, создаёт высокий риск длительной компрометации и утечки конфиденциальной информации. Организациям следует действовать проактивно: патчить, мониторить и готовиться к обнаружению и реагированию на подобные угрозы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.