Зашли, осмотрелись и остались на пять лет. Как выглядит «гостеприимство» в сетях военных ведомств
NewsMakerХозяева даже не подозревали, что в их кабинетах давно сменили замки.
Специалисты Palo Alto Networks выявили масштабную кибершпионскую кампанию, направленную против военных организаций стран Юго-Восточной Азии. Активность связывают с группировкой, предположительно действующей из Китая. Операция, получившая обозначение CL-STA-1087, продолжается как минимум с 2020 года и отличается скрытностью и точечным сбором разведданных.
Атака раскрылась после внедрения системы мониторинга, которая зафиксировала подозрительные PowerShell-команды внутри сети одной из целей. Анализ показал, что злоумышленники закрепились в инфраструктуре задолго до обнаружения и могли месяцами сохранять доступ, не проявляя активности. Вредоносные скрипты запускались с задержкой в несколько часов и устанавливали соединение с управляющими серверами.
После «спящего» периода группа возобновила действия и начала распространяться по сети. Для этого использовали легитимные инструменты Windows, включая WMI и .NET, что усложняло обнаружение. Под удар попали контроллеры домена, серверы и рабочие станции, включая устройства руководящего уровня. Для закрепления злоумышленники регистрировали вредоносные библиотеки в системных службах и применяли перехват DLL.
Ключевую роль в атаке играли два бэкдора — AppleChris и MemFun. Первый обеспечивал полный удалённый контроль над системой, включая запуск команд, работу с файлами и создание скрытых процессов. Второй действовал преимущественно в памяти, избегая записи на диск, и загружал модули в зависимости от задач операции. Оба инструмента использовали нестандартный механизм получения адресов управляющих серверов через публичные сервисы вроде Pastebin, что позволяло гибко менять инфраструктуру.
Специалисты Palo Alto Networks выявили масштабную кибершпионскую кампанию, направленную против военных организаций стран Юго-Восточной Азии. Активность связывают с группировкой, предположительно действующей из Китая. Операция, получившая обозначение CL-STA-1087, продолжается как минимум с 2020 года и отличается скрытностью и точечным сбором разведданных.
Атака раскрылась после внедрения системы мониторинга, которая зафиксировала подозрительные PowerShell-команды внутри сети одной из целей. Анализ показал, что злоумышленники закрепились в инфраструктуре задолго до обнаружения и могли месяцами сохранять доступ, не проявляя активности. Вредоносные скрипты запускались с задержкой в несколько часов и устанавливали соединение с управляющими серверами.
После «спящего» периода группа возобновила действия и начала распространяться по сети. Для этого использовали легитимные инструменты Windows, включая WMI и .NET, что усложняло обнаружение. Под удар попали контроллеры домена, серверы и рабочие станции, включая устройства руководящего уровня. Для закрепления злоумышленники регистрировали вредоносные библиотеки в системных службах и применяли перехват DLL.
Ключевую роль в атаке играли два бэкдора — AppleChris и MemFun. Первый обеспечивал полный удалённый контроль над системой, включая запуск команд, работу с файлами и создание скрытых процессов. Второй действовал преимущественно в памяти, избегая записи на диск, и загружал модули в зависимости от задач операции. Оба инструмента использовали нестандартный механизм получения адресов управляющих серверов через публичные сервисы вроде Pastebin, что позволяло гибко менять инфраструктуру.