СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
20.10.2025
#ИБ#Инфра

Flax Typhoon компрометировал ArcGIS через SOE — скрытый бэкдор

Flax Typhoon компрометировал ArcGIS через SOE — скрытый бэкдор

Кратко: в отчёте описана сложная операция Flax Typhoon — поддерживаемая Китаем APT-группировка — которая скомпрометировала платформу ArcGIS, установив постоянный Backdoor через легитимный расширяемый компонент Java server object extension (SOE). Атака использовала внедрение скрытого web shell, маскировку в системных бэкапах и развёртывание дополнительных инструментов для устойчивого доступа к внутренней сети жертвы.

Суть атаки

Злоумышленники получили первоначальный доступ через скомпрометированную учётную запись администратора портала, что позволило им развернуть вредоносное расширение SOE в автономной среде ArcGIS. Используя стандартную конфигурацию, при которой общедоступный сервер ArcGIS выступал как прокси для внутреннего сервера, злоумышленники посылали на портал команды в кодировке base64 для их выполнения на сервере.

Ключевые технические приёмы

  • Внедрение скрытого web shell в Java SOE и включение его в системные резервные копии для обхода механизмов обнаружения.
  • Создание скрытого системного каталога с именем «Bridge» через вредоносный GET-запрос — рабочее пространство для дальнейшей эксплуатации. Каталог был защищён жёстко закодированным ключом, необходимым для запуска web shell.
  • Отправка команд в кодировке base64 через прокси-конфигурацию общедоступного сервера ArcGIS.

Расширение доступа и разведка сети

После первоначального выполнения злоумышленники просканировали внутреннюю сеть, используя протоколы SSH, HTTPS и SMB, чтобы:

  • построить топологию сети;
  • идентифицировать ключевые цели, в частности рабочие станции ИТ-персонала;
  • собрать разведданные, необходимые для дальнейших операций по компрометации учетных записей.

Устойчивая обратная связь в сеть жертвы

Для долгосрочного доступа злоумышленники установили переименованный исполняемый файл SoftEther VPN под именем bridge.exe в каталоге Windows System32. Этот компонент инициировал исходящее HTTPS-соединение с сервером управления (C2) с системными привилегиями. Такое поведение указывает на настройку VPN-моста для скрытого подключения к внутренней сети жертвы.

«Каталог «Bridge» использовался как защищённое рабочее пространство, а запуск web shell требовал жёстко закодированного ключа», — отмечает отчёт.

Особенности получения учетных данных

Особо примечателен аккуратный и целенаправленный подход к получению учетных данных: злоумышленники нацеливались на рабочие станции ИТ-персонала, что соответствует высокозатратной модели эксплуатации, направленной на получение привилегированных учетных данных и расширение контроля над инфраструктурой.

Уязвимости платформы и общедоступных приложений

Отмечено, что любая общедоступная система, имеющая доступ к внутренним ресурсам аналогично настроенного окружения, может быть использована в качестве канала для таких атак. В частности, конфигурации, где публичный сервер выполняет роль прокси для внутренних сервисов, представляют повышенный риск.

Рекомендации по снижению рисков

Чтобы смягчить подобные долгосрочные угрозы и снизить вероятность первоначального компрометации, организациям рекомендуется внедрить более упреждающие меры безопасности, выходящие за рамки детекции на основе индикаторов:

  • провести аудит всех общедоступных приложений и убедиться, что они не имеют непропорционального доступа к внутренним сервисам;
  • обеспечить безопасность портала ArcGIS admin и ограничить возможности удалённого развертывания расширений;
  • внедрить многофакторную аутентификацию (MFA) для административных учётных записей;
  • ввести поведенческую аналитику для выявления аномалий в поведении легитимных процессов (например, неожиданные обращения к резервным копиям или нестандартные исходящие HTTPS-соединения с системными привилегиями);
  • усилить гигиену учётных данных: сложные пароли, ротация паролей, минимизация прав и мониторинг доступа к рабочим станциям ИТ-персонала.

Вывод

Операция Flax Typhoon демонстрирует, как злоумышленники могут использовать легитимные расширяемые компоненты и стандартные конфигурации инфраструктуры для скрытого и долгосрочного присутствия в сети. Эффективная защита требует комплексного подхода: сочетания аудита конфигураций, MFA, поведенческой аналитики и жёсткой политики управления учётными записями.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: