СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
27 апреля
#ИБ

ESET раскрыла APT-группу GopherWhisper с инструментами на Go

ESET: China-linked APT-группировка GopherWhisper атакует Mongolia government entities, используя Discord, Slack и Microsoft 365 Outlook для C&C

Исследователи ESET сообщили об обнаружении ранее недокументированной преступной APT-группировки GopherWhisper, которую, по их оценке, можно связать с интересами Китая. Главной целью кампании стали government entities Mongolia, а в качестве основы для операций злоумышленники используют широкий набор вредоносных инструментов, преимущественно написанных на Go.

Ключевая особенность деятельности группировки — маскировка командования и контроля (C&C) под легитимные сервисы. Для связи с инфраструктурой злоумышленники применяют Discord, Slack, Microsoft 365 Outlook и file.io, что заметно усложняет обнаружение их активности.

Как ESET вышла на GopherWhisper

Расследование началось в январе 2025 года с анализа бэкдора LaxGopher. Именно его изучение привело исследователей к другим образцам, входящим в арсенал GopherWhisper. По данным ESET, злоумышленники использовали несколько взаимосвязанных компонентов, каждый из которых решал свою задачу в цепочке атаки.

В числе выявленных инструментов:

  • LaxGopher — Go-based backdoor, использующий Slack для отправки и получения команд;
  • RatGopher — backdoor, взаимодействующий с Discord;
  • BoxOfFriends — backdoor, работающий через Microsoft Graph;
  • SSLORDoor — backdoor на C++;
  • JabGopher — injector, обеспечивающий запуск LaxGopher;
  • CompactGopher — инструмент для exfiltration данных.

Legitimate services как прикрытие для C&C

Каждый из обнаруженных backdoor-ов спроектирован таким образом, чтобы использовать легальные online-сервисы как транспорт для команд и ответов. Это позволяет трафику выглядеть обычным и затрудняет его фильтрацию средствами безопасности.

Так, LaxGopher получает инструкции через Slack, RatGopher — через Discord, а BoxOfFriends работает с Microsoft Graph, используя draft emails в Microsoft 365 Outlook. Такой подход дает группе устойчивый и малозаметный канал управления зараженными системами.

«Использование легитимных сервисов в качестве C&C-инфраструктуры существенно снижает заметность атаки и усложняет реагирование», — следует из выводов, представленных исследователями ESET.

Доступ к инфраструктуре и утечка данных

По данным расследования, GopherWhisper применяла жестко запрограммированные учетные данные для доступа к своей C&C-инфраструктуре. Именно через эти данные исследователи смогли получить доступ к более чем 9000 сообщений злоумышленников в channels и Threads (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta), что позволило лучше понять их методы работы.

Команды, которые выполняли backdoor-ы, включали:

  • enumeration of files;
  • сбор данных с зараженных систем;
  • передачу конфиденциальных файлов через C&C channels.

Механизмы скрытности и закрепления

Отдельного внимания заслуживают методы injection и persistence, которые использует группировка. По оценке ESET, они демонстрируют высокий уровень технической проработки.

JabGopher внедряет LaxGopher в процесс svchost.exe с помощью process hollowing, что помогает скрывать вредоносную активность во время выполнения. В свою очередь, FriendDelivery — еще один injector, связанный с BoxOfFriends, — обеспечивает закрепление, маскируясь под legitimate Windows service. После перезапуска такая служба продолжает функционировать, используя system processes.

SSLORDoor и работа через TCP

Бэкдор SSLORDoor, основанный на C++, выстраивает зашифрованную связь с C&C через raw TCP sockets с применением SSL/TLS. Для обмена сообщениями он использует обфусцированный механизм шифрования RC4, что дополнительно усложняет анализ перехваченного трафика.

BoxOfFriends и Microsoft Graph API

Еще один показатель сложности инструментария GopherWhisper — BoxOfFriends. Этот backdoor использует Microsoft Graph API для работы с draft emails, постоянно перезаписывая предыдущие сообщения. Такая техника помогает сохранять скрытность и минимизировать следы активности в среде жертвы.

Совокупность этих функций показывает, что GopherWhisper ориентируется не только на доступ к информации, но и на длительное, устойчивое присутствие в целевой инфраструктуре. Использование легитимных платформ, многоступенчатых injector-ов и разнообразных каналов управления делает группировку особенно опасной для государственных организаций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: