Эксклюзив Связанная с Китаем новая угрожающая группа проникла как минимум в дюжину критически важных сетей в Польше, странах Азии и, возможно, за их пределами. Активность началась в декабре 2024 года, а следы были обнаружены совсем недавно, в этом месяце.
Меня беспокоит то, что они оставляют после себя: какой тип C2 с циклом сна все еще задерживается в этих средах?
В отчете, предоставленном эксклюзивно изданию The Register, исследователи TrendAI сообщают, что новая группа, которую они отслеживают как Shadow-Earth-053, нацеливалась на государственные учреждения, оборонных подрядчиков, технологические компании и транспортную отрасль. Китайские шпионы обычно получают первоначальный доступ к сетям жертв через уязвимые серверы Microsoft Exchange.
При «нескольких» таких вторжениях они компрометировали организации-жертвы за 8 месяцев до развертывания ShadowPad — настраиваемого бэкдора, который используется китайской APT41 на протяжении почти десяти лет и с 2019 года используется несколькими связанными с Китаем группами.
Около половины жертв также были скомпрометированы связанной группой, Shadow-Earth-054, которая использовала те же уязвимости и имела идентичные хеши инструментов и пересекающиеся методы с Shadow-Earth-053. Группа 054 имеет некоторые сетевые пересечения с китайскими группировками, отслеживаемыми Unit 42 компании Palo Alto Networks как CL-STA-0049, Elastic Security Labs как REF7707, и как Earth Alux.
Том Келлерманн, вице-президент TrendAI по безопасности ИИ и исследованиям угроз, сравнил новые китайские группы с Salt Typhoon и Volt Typhoon.
Salt взломала телекоммуникационные и правительственные сети для скрытного, долгосрочного доступа к жертвам, начиная с 2019 года. А Volt последовала за ними в середине 2021 года, глубоко внедрившись в критические сети США для предварительного размещения перед будущими разрушительными атаками. Об этих кампаниях взлома стало известно только в конце 2023 года.
“Shadow-Earth-053 следовала за Shadow-Earth-054, проводя разведку и проникая в оборонные ведомства и министерства обороны государств, которые поддерживают США, а также выступают за независимость Тайваня”, — сказал Келлерманн в эксклюзивном интервью The Register.
“Меня беспокоит то, что они оставляют после себя: какой тип C2 с циклом сна все еще задерживается в этих средах? Предустановили ли они уже вайперы или разрушительные возможности”, — продолжил Келлерманн. “Они идут по стопам кампаний Typhoon, выглядят как младший брат и сестра кампаний Typhoon, и они целенаправленно перемещаются по оборонным секторам и министерствам этих стран не просто так”.
Жертвы Shadow-Earth-053 находились как минимум в восьми странах, согласно расследованию TrendAI. Большинство замеченных целей располагались в Пакистане, Таиланде, Малайзии, Индии, Мьянме, Шри-Ланке и на Тайване, при этом как минимум одна цель — организация из оборонного сектора — находилась в Польше.
Келлерманн также предположил, что сетевые злоумышленники уделяют пристальное внимание предстоящему саммиту в следующем месяце между президентом США Трампом и председателем КНР Си.
“Volt по сути имела неограниченный доступ к критически важной инфраструктуре, энергетическому сектору и т. д., и все это было для целей текущего шпионажа, но, что более важно, для сохранения диверсионного потенциала, такого как разрушительные атаки, в случае обострения геополитической напряженности”, — сказал Келлерманн в эксклюзивном интервью The Register. “Вот мы подходим к встрече 14 и 15 мая между президентом Трампом и председателем Си, и, не дай бог, 15-е число пойдет наперекосяк”.
Баги серверов Exchange: подарки, которые продолжают радовать
Shadow-Earth-053 обычно использует внешние сервисы для взлома целевых сетей. Старый ProxyLogon (CVE-2021-26855), который можно объединить с другими багами серверов Microsoft Exchange (CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065) для достижения удаленного выполнения кода, является излюбленным.
Salt Typhoon и другие китайские правительственные шпионы также злоупотребляли ProxyLogon для взлома критически важных сетей США еще в 2021 году, когда он был впервые раскрыт, и с тех пор он остается уязвимостью, которую эксплуатируют чаще всего. Так что, если вы еще этого не сделали: установите исправления для этих багов серверов Exchange.
После компрометации сервера Shadow-Earth-053 устанавливает веб-шеллы — Godzilla часто используется этой и другими китайскими группировками, — а затем развертывает бэкдор ShadowPad.
В одном из случаев злоумышленники доставили вредоносное ПО ShadowPad через легитимный и популярный инструмент удаленного рабочего стола AnyDesk. TrendAI предполагает, что злоумышленник либо использовал предыдущую компрометацию, либо злоупотребил украденными учетными данными. “Ограниченная видимость этого вторжения не позволяет нам определить, представляет ли это альтернативный метод первоначального доступа или развертывание на более позднем этапе после необнаруженной точки входа”, — написали авторы.
Теневое вредоносное ПО и легитимные инструменты Windows
В отдельном случае специалисты по реагированию на инциденты обнаружили бэкдоры Linux NoodleRat — также широко используемые китайскими шпионскими и киберпреступными группами — развернутые после того, как Shadow-Earth-053 использовала другую широко эксплуатируемую дыру в безопасности Microsoft: React2Shell (CVE-2025-55182), критический дефект в React Server Components, который может позволить злоумышленникам выполнять произвольный код на уязвимых серверах.
Группа принимает меры для избежания обнаружения в сетях и придания своему вредоносному трафику вида легитимного. В среде одной из жертв TrendAI обнаружила RingQ — инструмент с открытым исходным кодом, разработанный в Китае и доступный на GitHub, который можно использовать для упаковки вредоносных бинарных файлов с целью обхода обнаружения средствами безопасности. Злоумышленники также используют доменные имена, имитирующие продукты, компании по безопасности или связанные с протоколом DNS.
В некоторых случаях группа переименовывала легитимные системные бинарные файлы Windows для обхода обнаружения процессов.
“Они используют инструменты, которые мы видели раньше, и я думаю, они делают это намеренно, просто чтобы затеряться в шуме”, — сказал Келлерманн.
Для бокового перемещения по средам жертв Shadow-Earth-053 использует Windows Management Instrumentation Command-line (WMIC) и устанавливает бэкдоры на дополнительные хосты. В одной среде группа распространила веб-шеллы на дополнительные внутренние серверы Exchange, используя существующие административные учетные данные, — и они продолжают собирать учетные данные по мере перемещения по скомпрометированным системам, используя такие инструменты, как Evil-CreateDump.
Нацеливание на Польшу, страну НАТО, “подчеркивает, как бурно развивается кибершпионаж и кибервойна”, — сказал Келлерманн. “И не только бурно развивается, но это прямая предварительная расстановка этих активов для колонизации этих инфраструктур с целью не только шпионажа, но и долгосрочного саботажа, если потребуется”. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
