СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
3 часа назад
#ИБ#Облака

Китайские хакеры атаковали Чехию и Тайвань, спрятав управление вирусами внутри облака Microsoft Azure

Китайские хакеры атаковали Чехию и Тайвань, спрятав управление вирусами внутри облака Microsoft Azure

изображение: recraft

Группа киберразведчиков Seqrite Labs раскрыла шпионскую операцию Dragon Weave, нацеленную на организации в Чехии и Тайване. Атакующие применяют загрузчики на Rust и прячут командный канал внутри Azure Blob Storage, маскируя вредоносный трафик под обычные обращения к облаку. Аналитики связывают активность с китайскими хакерскими группировками.

Под прицелом операторов оказались государственные ведомства, исследовательские лаборатории, университеты, технологические корпорации и финансовые учреждения. Подобный выбор жертв укладывается в типичную логику промышленного шпионажа, где наибольшую ценность представляют технологические разработки, финансовые потоки и внутренние процессы крупных структур.

Атака начинается с адресной рассылки фишинговых писем. Получатель скачивает ZIP-архив, выглядящий безобидно. Внутри лежит набор файлов, имитирующих рабочие документы и служебные материалы. По факту весь архив представляет собой собранную систему доставки вредоносной нагрузки.

Прия Патель из Seqrite Labs пояснила, что содержимое архива создаёт иллюзию легитимности, хотя каждый файл выполняет свою роль в цепочке скрытого запуска вредоносных компонентов.

  • Первый вариант атаки опирается на файл LNK. Для пользователя ярлык выглядит как обычный PDF-документ. Двойной щелчок запускает PowerShell-скрипт, который вытаскивает исполняемый файл RuntimeBroker_update.exe из промежуточного DAT-контейнера и активирует его.
  • Второй вариант атаки проще. Жертва сама запускает бинарник из архива, после чего тот выполняет функции загрузчика и поднимает тот же самый RuntimeBroker_update.exe. Дальнейшие шаги в обоих случаях практически совпадают.

Следующая стадия эксплуатирует технику DLL sideloading. Через неё в память подгружается вредоносная библиотека UnityPlayer.dll, запускающая загрузчик с названием RUSTCLOAK. Компонент написан на Rust — этот язык всё больше привлекает разработчиков вредоносов из-за удобства сборки и сложности обратной инженерии.

После активации RUSTCLOAK расшифровывает и поднимает основной инструмент кампании — агент AdaptixC2, которому исследователи дали отдельное имя AZUREVEIL. Название появилось не просто так, ведь для связи с операторами вредонос использует инфраструктуру Azure Blob Storage.

Отмечается, что вредоносное ПО общается исключительно с Azure Blob Storage — той же платформой, которой пользуются тысячи легальных компаний по всему миру.

На этом моменте кампания приобретает любопытный оттенок. Стандартная схема предполагает прямой обмен данными между жертвой и управляющим сервером. Такой канал легко вычислить, заблокировать и проследить. Создатели Dragon Weave выбрали иной маршрут.

Используется модель так называемого «мёртвого почтового ящика». Заражённая машина и оператор никогда не подключаются друг к другу напрямую. Обе стороны работают через общий контейнер хранения в Azure. Сетевой трафик при этом выглядит как штатное обращение к популярному облаку, а вычислить подозрительную активность среди легитимных запросов крайне трудно.

После закрепления AZUREVEIL получает солидный арсенал возможностей. Исследователи насчитали 36 команд управления. Программа умеет следующее.

  • работать с файловой системой, скачивать и заливать данные;
  • выполнять команды оболочки прямо на скомпрометированной машине;
  • управлять активными процессами и службами;
  • организовывать переадресацию портов и SOCKS-прокси;
  • подгружать дополнительные модули прямо в оперативную память.

Оператор фактически получает полный доступ к устройству. Заражённая система превращается в удалённую платформу для разведки, продвижения внутри сети и развития атаки.

Перед запуском основной нагрузки вредонос проводит проверки окружения. Если программа считает, что находится в песочнице или среде исследователя, выполнение прерывается. Подобные защитные механизмы давно стали обязательным элементом продвинутых шпионских кампаний.

Команда Cato Networks одновременно зафиксировала другую активность с возможной китайской атрибуцией. Атакующие пытались проникнуть в индийское подразделение международного производственного холдинга. В ходе вторжения использовался прежде неизвестный имплант TencShell, написанный на Go и построенный на базе открытого фреймворка управления rshell.

Уточняется, что TencShell имитирует API в стиле Tencent, а это позволило исследователям связать кампанию с китайскими операторами.

Возможности TencShell были широкими. Среди них.

  • выполнение произвольных команд на узле жертвы;
  • запуск полезной нагрузки прямо в оперативной памяти;
  • проксирование трафика через скомпрометированную машину;
  • разведка системы и сбор сведений о сети;
  • развёртывание вспомогательных инструментов и модулей.

Над разбором инцидента работали Идан Тараб, доктор Гай Вайзель, Зохар Бубер и Шани Курцберг. Первоначальный вектор проникновения пока не установлен.

Атрибуцию выстраивали на трёх опорах.

  • характерные особенности инфраструктуры, замеченные в прошлых операциях;
  • использование rshell в качестве базового каркаса;
  • маскировка взаимодействий с API сервисов Tencent.

Ранее сообщалось, что связанные с Китаем хакерские группировки активизировали операции на фоне обострения ситуации вокруг Ирана. По данным аналитиков ESET, злоумышленники сосредоточили внимание на морских, энергетических и политических организациях стран Персидского залива. Основной интерес атакующих был направлен на сферы, связанные с поставками нефти и газа, портовой инфраструктурой, логистикой и судоходством, где геополитические события напрямую влияют на экономические процессы региона.

Также мы писали о развитии китайского рынка фишинга как услуги. Согласно данным Google Threat Intelligence Group, операторы подобных платформ перешли к перехвату учётных данных и одноразовых кодов подтверждения в режиме реального времени. Полученные логины, пароли и OTP-коды мгновенно передаются злоумышленникам через специальные панели управления. Исследователи выявили не менее 12 активных PhaaS-сервисов, ориентированных преимущественно на зарубежных пользователей. Вместо традиционных поддельных страниц входа всё чаще применяются зашифрованные каналы доставки и автоматически создаваемые с помощью ИИ фишинговые сайты.

Эксперты редакции CISOCLUB уверены, что кампания Dragon Weave обозначает заметный рывок китайских группировок в маскировке управляющего трафика. Облачные сервисы крупных провайдеров превращаются в удобный полигон, где вредоносная активность растворяется среди миллионов легитимных запросов. Защитникам придётся переосмыслить подходы к мониторингу обращений к Azure, AWS и Google Cloud, поскольку слепое доверие популярным доменам становится опасной привычкой.

Связка Rust-загрузчиков, DLL sideloading и модели «мёртвого почтового ящика» показывает зрелость инструментария атакующих. Редакция считает, что в ближайший год подобные схемы возьмут на вооружение и другие государственные APT-группы. Корпоративным командам стоит готовиться к гонке, где аномалия в облачном трафике станет важнее любых сигнатур.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: