Salt Typhoon: SNAPPYBEE, DLL sideloading и атака через Citrix NetScaler
Salt Typhoon — сложная киберугроза, связанная с государственно-спонсируемыми акторами из Китая — вновь продемонстрировала способность целиться в критически важную инфраструктуру. Недавнее расследование активности в европейской телекоммуникационной организации выявило серию операций, соответствующих известным тактикам, техникам и процедурам (TTP) этой группы, — с акцентом на целевые атаки против телекоммуникационного и энергетического секторов, а также правительственных систем в США.
Краткое описание инцидента
По доступным данным, вторжение началось в начале июля 2025 года с использования уязвимого устройства Citrix NetScaler Gateway. Этот первоначальный доступ позволил злоумышленникам переместиться на хосты Citrix Virtual Delivery Agent (VDA) в подсети служб создания машин клиента. Впоследствии действия злодеев можно было проследить до конечной точки, потенциально связанной с VPN-сервисом SoftEther, что указывает на раннее применение методов обфускации.
Использованные инструменты и техники
Анализ показал следующий набор приемов и вредоносных компонентов:
- Внедрение бэкдора SNAPPYBEE (Deed RAT) на нескольких узлах Citrix VDA;
- DLL Sideloading — загрузка вредоносных DLL совместно с легитимными исполняемыми файлами известных антивирусных продуктов, что помогает обходить сигнатурные механизмы обнаружения;
- Использование легитимного ПО для поддержания скрытности и уклонения от обнаружения;
- Коммуникация C2 через конечные точки lightNode VPS как по протоколу HTTP, так и по неопознанному протоколу на основе TCP;
- HTTP-запросы в формате POST с заголовком user-agent, имитирующим Internet Explorer, и уникальными шаблонами URI для взаимодействий C2;
- Подключение к доменам, один из которых недавно идентифицирован как связанный с Salt Typhoon.
Обнаружение и реакция
Обнаружение активности произошло благодаря сигналам поведенческого мониторинга. Компания Darktrace зафиксировала аномалии на ранней стадии и смогла оперативно нейтрализовать активность до её масштабирования.
Их аналитик по кибер-ИИ автономно связал точки между первоначальным набором инструментов и событиями C2, чтобы представить целостное представление о продвижении атакующего.
Случай демонстрирует эффективность поведенческого анализа и автоматизированной корреляции событий при противодействии целенаправленным и скрытным кампаниям.
Почему это важно
Инцидент подчёркивает несколько ключевых рисков:
- Salt Typhoon умеет сочетать легитимные инструменты с вредоносными для повышения скрытности;
- Традиционные методы защиты на основе сигнатур уязвимы против DLL Sideloading и имитации легитимного трафика;
- Атаки ориентированы на критические отрасли, где последствия компрометации имеют системный характер.
Рекомендации для организаций
Чтобы снизить риск успешных кампаний такого типа, эксперты рекомендуют:
- Усилить мониторинг поведенческих аномалий и внедрить EDR/XDR-решения, способные выявлять подозрительные цепочки действий;
- Проверить и актуализировать конфигурации устройств доступа, в том числе Citrix NetScaler Gateway, и патчить уязвимости немедленно;
- Ограничить и контролировать использование легитимного ПО, применять белые списки и контроль целостности исполняемых файлов;
- Анализировать сетевые соединения на предмет необычных шаблонов URI, поддельных user-agent и нетипичных C2-коммуникаций через VPS;
- Внедрить процессы быстрого реагирования и корреляции событий с использованием средств автоматизации и аналитики.
Вывод
Эволюция методологий Salt Typhoon усиливает необходимость проактивной защиты и расширенных возможностей обнаружения. Организациям критической инфраструктуры следует смещать фокус с исключительно сигнатурной защиты на поведенческий анализ и оперативную корреляцию событий, чтобы выявлять едва заметные отклонения в сетевой активности и предотвращать глубокую компрометацию.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
