Китайские кибератаки 2024–2025: анализ методов и уязвимостей

Китайские хакерские операции и атаки на поставщиков кибербезопасности: анализ SentinelLabs

Во второй половине 2024 года и в начале 2025 года специалисты компании SentinelLabs зафиксировали серию скоординированных кибератак, связанных с китайскими группами хакеров, известными как PurpleHaze и ShadowPad. Эти кампании включали разведывательные операции и попытки вторжений в крупные организации, среди которых оказались компании SentinelOne и сервис-провайдер для материально-технического обеспечения сотрудников SentinelOne.

Основные цели и характер атак

Особое внимание вызывает тот факт, что попытки проникновения в системы SentinelOne оказались безуспешными – меры защиты компании выдержали эти атаки. Вместе с тем, вредоносное ПО ShadowPad, известное как модульный бэкдор и ассоциируемое с китайским кибершпионажем, было замечено при атаках на правительственное учреждение Южной Азии в июне 2024 года.

ShadowPad активно использовал технику обфускации ScatterBrain, что позволило нападениям оставаться незамеченными в течение длительного времени. В ходе расследования обнаружена масштабная кампания, затронувшая более 70 организаций в различных секторах по всему миру в период с июля 2024 года по март 2025 года.

Методы и техники злоумышленников

• Векторы доступа: основным путем вторжений стали уязвимости в сетевых устройствах, включая шлюзы Check Point.
• Вредоносный софт: приложение AppSov.exe, которое запускалось через PowerShell, доставляя и активируя полезную нагрузку с последующей перезагрузкой системы.
• Удаление следов: после компрометации AppSov.exe удалял конфиденциальные данные, работал с использованием DNS через HTTPS для скрытия C2-коммуникаций.
• Использование бэкдоров: например, GOREshell, развёрнутый с помощью DLL Injection в легитимных процессах, позволял злоумышленникам выполнять удалённые команды.
• Обфускация и сокрытие активности: манипуляции с метками времени вредоносных файлов, внедрение средств удаления журналов и других следов деятельности.

Угрозы для индустрии кибербезопасности

Отдельно следует выделить рост числа атак на компании, предоставляющие услуги в области кибербезопасности, особенно те, которые управляют критически важной инфраструктурой. Акцент хакеров направлен на использование zero-day уязвимостей, например, CVE-2024-8963 и CVE-2024-8190, которые применялись до момента их публичного раскрытия.

По словам экспертов SentinelLabs, «данный уровень активности указывает на растущую угрозу со стороны национальных групп, что требует усиленного сотрудничества и прозрачности внутри индустрии».

Рекомендации и дальнейшие шаги

Аналитики SentinelLabs призывают к повышению осведомлённости организаций о потенциальных уязвимостях и методах защиты. В частности, внимание следует уделять:

• Обновлению и патчингу сетевого оборудования;
• Мониторингу PowerShell и других скриптовых команд;
• Внедрению усовершенствованных средств обнаружения и реагирования;
• Обмену оперативной разведывательной информацией между компаниями;
• Повышению прозрачности и координации в отрасли для борьбы с национальными угрозами.

В условиях эскалации киберактивности со стороны национальных государств сохраняется острая необходимость в постоянной бдительности и проактивном обмене разведданными, что позволит минимизировать риски и своевременно нейтрализовать потенциальные атаки.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.