СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
3 часа назад
#ИБ

Twill Typhoon маскирует RAT под CDN-сервисы

Darktrace сообщила о продолжающейся киберактивности, связанной с китайской группой, спонсируемой государством, известной как Twill Typhoon. По данным аналитиков, кампания, стартовавшая в конце сентября 2025 года, была нацелена прежде всего на регионы Asia-Pacific и Japan и демонстрировала хорошо выстроенную схему маскировки под легитимный сетевой трафик.

Маскировка под CDN и известные сервисы

В ходе расследования специалисты зафиксировали, что клиентские среды отправляли запросы к доменам, визуально напоминающим сети доставки контента (CDN). Эти домены были связаны с сервисами, ассоциируемыми с Yahoo и Apple, что позволяло им выглядеть безобидно на фоне обычной сетевой активности.

Однако за внешне легитимными запросами скрывалась последовательная схема доставки вредоносного кода. Darktrace отмечает, что одна и та же цепочка действий повторялась в нескольких инцидентах и в итоге приводила к установлению связи с командным центром (C2).

Как строилась атака

Методология атаки опиралась на подгрузку сторонних библиотек и использование легитимных исполняемых файлов вместе с вредоносными DLL. Такой подход позволял запускать модульный .NET RAT framework внутри доверенных процессов и усложнял обнаружение.

Последовательность выполнения выглядела следующим образом:

  • сначала загружался легитимный исполняемый файл;
  • затем подгружался соответствующий файл конфигурации;
  • после этого запускалась вредоносная DLL.

Именно эта последовательность, по мнению исследователей, указывает на продуманную стратегию закрепления в среде жертвы и скрытого развертывания компонентов вредоносной инфраструктуры.

Инцидент в financial sector

Особенно показателен один из инцидентов в financial sector, где хосты отправляли множество HTTP GET-запросов к доменам, связанным с Yahoo. Цепочка начиналась с запуска легитимных бинарных файлов, после чего постепенно загружались связанные configuration-файлы и DLL-компоненты.

При этом вредоносная DLL получила имя, совпадающее с именем легитимной библиотеки. Такая техника позволяла ей выполняться при вызове базовым приложением и работать внутри доверенного процесса, не вызывая немедленных срабатываний защитных механизмов.

Используемые компоненты и механика закрепления

Среди ключевых элементов кампании Darktrace выделяет:

  • ClickOnce для Windows (dfsvc.exe);
  • Visual Studio hosting process (vshost.exe);
  • вредоносные конфигурации, заменяющие легитимные файлы;
  • механизмы, изменяющие поведение целевых процессов;
  • внедрение backdoors без немедленного вызова тревог.

В одном из описанных сценариев процесс подменял конфигурации и менял поведение приложения, чтобы обеспечить бесшовную загрузку вредоносной DLL под названием dnscfg.dll.

Main payload: Client.TcpDmtp.dll

Основной полезной нагрузкой кампании стал сильно зашифрованный backdoor под названием Client.TcpDmtp.dll. Он использует собственный TCP-протокол и обновленную версию Duplex Message Transport Protocol (FDMTP 3.2.5.1).

По данным Darktrace, backdoor поддерживает постоянное взаимодействие с сервером C2 и обладает возможностями профилирования системы, а также выполнения команд. Кроме того, он глубоко интегрируется в среду заражения, управляя жизненным циклом и обслуживанием через основную библиотеку и дополнительные плагины.

Отдельно отмечается, что некоторые плагины способны вносить постоянные изменения в реестр, что повышает устойчивость вредоносного присутствия в системе.

Что это значит для defenders

Исследователи подчеркивают, что наблюдаемые признаки согласуются с известными паттернами угроз, связанными с China-nexus actor. При этом акцент делается не на отдельных индикаторах компрометации, а на поведенческой модели.

Как отмечает анализ, техники и инфраструктура могут меняться, однако базовые методологии выполнения остаются стабильными и узнаваемыми. Именно поэтому киберзащита, по мнению Darktrace, должна сосредоточиться на мониторинге поведенческих паттернов, а не только на поиске конкретных IOC.

«Фундаментальные методологии выполнения выявляют стабильную и узнаваемую тактику», — следует из выводов отчета.

Таким образом, кампания Twill Typhoon демонстрирует, что современные атаки все чаще строятся вокруг доверенной среды исполнения, подмены легитимных компонентов и тонкой маскировки под обычный сетевой трафик. Для организаций это означает необходимость более глубокого контроля процессов, конфигураций и аномалий в цепочках загрузки приложений.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: