Новая группа кибершпиона, действующая из Азии, за последний год скомпрометировала 70 государственных и критически важных инфраструктурных организаций в 37 странах, используя сложный набор инструментов, сочетающий фишинг, эксплойт-киты, пользовательское вредоносное ПО, руткиты для Linux, веб-оболочки и различные другие инструменты туннелирования и прокси. Исследователи полагают, что группа расширяет свою деятельность и проводит активную разведку еще по многим целям.
«С ноября по декабрь 2025 года мы наблюдали, как группа проводила активную разведку против правительственной инфраструктуры, связанной со 155 странами», — говорится в новом отчете исследователей из компании по кибербезопасности Palo Alto Networks.
Palo Alto отслеживает группу под обозначением TGR-STA-1030 (также известную как UNC6619) и полагает, что она базируется в Азии, основываясь на языковых настройках, предпочтении региональных инструментов, рабочем графике по GMT+8 и нацеленности, соответствующей событиям в регионе. Исследователи, отслеживающие группу с февраля 2025 года, считают, что она связана с государством.
Среди подтвержденных жертв группы — правоохранительные органы и пограничные службы национального уровня; министерства и ведомства внутренних дел, иностранных дел, финансов, торговли, экономики, иммиграции, добычи полезных ископаемых, юстиции и энергетики; избранные должностные лица и даже инфраструктура парламента. Группа также нацеливалась на национальные телекоммуникационные компании.
«Хотя эта группа может преследовать цели шпионажа, ее методы, цели и масштабы операций вызывают тревогу, с потенциальными долгосрочными последствиями для национальной безопасности и ключевых служб», — заявили исследователи Palo Alto.
От фишинга к эксплойтам
Palo Alto начала отслеживать группу год назад после серии фишинговых кампаний, направленных против европейских правительств, которые компания назвала Shadow Campaigns.
Фишинговые письма маскировались под объявления об организационных изменениях в официальных учреждениях и были написаны на языке предполагаемых получателей. Сообщения содержали ссылки, ведущие к загрузке ZIP-архива с пользовательским загрузчиком вредоносного ПО, который исследователи теперь называют Diaoyu.
Этот загрузчик выполняет различные проверки для обнаружения наличия определенных антивирусных программ и определения, работает ли он в песочнице. Затем он загружает имплант Cobalt Strike из репозитория GitHub. Cobalt Strike — это коммерческий инструмент для тестирования на проникновение, который за годы стал популярным среди злоумышленников.
Хотя группа не была замечена в использовании ранее неизвестных уязвимостей для получения доступа к сетям, она использовала эксплойты для известных уязвимостей (N-days) в большом количестве программных продуктов, операционных систем и библиотек, включая: SAP Solution Manager, Microsoft Open Management Infrastructure, Microsoft Exchange Server, Pivotal Spring Data Commons, Struts2, Eyou Email System, Beijing Grandview Century eHR Software, Weaver Ecology-OA, Commvault CommCell CVSearchService, Zhiyuan OA, Microsoft Windows, сетевые продукты от Ruijieyi Networks и D-Link, и другие.
«Однажды мы наблюдали, как злоумышленник подключался к сервисам электронных паспортов и электронных виз, связанным с министерством иностранных дел», — сообщили исследователи. «Поскольку сервер для этих сервисов был настроен с использованием программного обеспечения Atlassian Crowd, злоумышленник попытался использовать CVE-2019-11580, загрузив полезную нагрузку под названием rce.jar».
Сложный набор имплантов
Помимо Cobalt Strike, группа использует различные другие вредоносные полезные нагрузки и фреймворки командно-контрольных центров (C2), включая VShell, Havoc, SparkRat и Sliver. На скомпрометированных веб-серверах злоумышленники развертывают различные веб-оболочки, включая Behinder, Neo-reGeorg и Godzilla.
На серверах Linux группа была замечена в развертывании руткита под названием ShadowGuard, который использует Extended Berkeley Packet Filter (eBPF) — мощную функцию для запуска изолированного кода внутри ядра Linux.
«Бэкдоры на основе eBPF печально известны своей сложностью обнаружения, поскольку они полностью работают в пределах доверенного пространства ядра», — заявили исследователи. «Программы eBPF не отображаются как отдельные модули. Вместо этого они выполняются внутри виртуальной машины BPF ядра, что делает их по своей сути скрытными. Это позволяет им манипулировать основными системными функциями и журналами аудита до того, как инструменты безопасности или приложения для мониторинга системы смогут увидеть реальные данные».
ShadowGuard, по-видимому, является уникальным инструментом этой группы, позволяющим ей скрывать процессы, файлы и каталоги.
Для сокрытия исходящего сетевого трафика из сетей жертв злоумышленники используют различные ретрансляционные и прокси-серверы, работающие на программном обеспечении для туннелирования, таком как GO Simple Tunnel (GOST), Fast Reverse Proxy Server (FRPS) и IOX, но их C2-серверы обычно размещаются на виртуальных частных серверах (VPS) из США, Великобритании и Сингапура.
Рост нацеленности
Palo Alto считает, что группа расширяет свою деятельность, поскольку с октября она сканирует сети организаций из 155 стран на предмет известных уязвимостей. Сканирование, по-видимому, нацелено на IP-адреса, принадлежащие правительственной инфраструктуре и конкретным интересующим целям.
Например, во время остановки работы правительства США, начавшейся в октябре, группа начала сканировать инфраструктуру правительств в Америке, включая Бразилию, Канаду, Доминиканскую Республику, Гватемалу, Гондурас, Ямайку, Мексику, Панаму и Тринидад и Тобаго. Исследователи полагают, что группа уже скомпрометировала организации в Боливии, Бразилии, Мексике, Панаме и Венесуэле.
Группа, похоже, привязывает свои действия к определенным событиям. Например, когда президент Чехии встретился с Далай-ламой в августе, группа немедленно начала сканировать компьютерную инфраструктуру чешской армии, полиции, парламента и президентства, а также министерств внутренних дел, финансов и иностранных дел.
«TGR-STA-1030 остается активной угрозой для правительственной и критически важной инфраструктуры по всему миру», — заявили в Palo Alto. «Группа в основном нацеливается на правительственные министерства и ведомства в целях шпионажа. Мы полагаем, что она приоритизирует усилия против стран, которые установили или изучают определенные экономические партнерства».
Отчет компании включает индикаторы компрометации, в том числе IP-адреса, доменные имена и хэши файлов для имплантов, используемых группой.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lucian Constantin
