SharePoint + админские права = подарок для APT41. Особенно в Африке

Кибергруппа APT41, связанная с Китаем, развернула новую шпионскую операцию против государственных IT-сервисов в Африке, что стало неожиданным поворотом для региона, ранее считавшегося маловероятной целью.

Специалисты «Лаборатории Касперского» выявили атаку после обнаружения подозрительной активности на рабочих станциях одной из организаций, имя которой не раскрывается. Злоумышленники использовали инструменты удалённого администрирования и исполняли команды, чтобы убедиться в доступности своих управляющих серверов внутри скомпрометированной сети.

Впоследствии выяснилось, что точкой входа стал неотслеживаемый хост, где в контексте сервисного аккаунта был запущен фреймворк Impacket, включая модули Atexec и WmiExec. После их выполнения злоумышленники на время прекратили активность. Однако уже скоро они начали использовать украденные учётные данные с высоким уровнем привилегий для эскалации прав и горизонтального перемещения по сети, в том числе с помощью инструмента Cobalt Strike , внедрённого через технику DLL Sideloading .

Особенность вредоносных библиотек заключается в том, что они проверяют языковые параметры системы и прекращают выполнение, если обнаружены китайский (как упрощённый, так и традиционный), японский или корейский языковые пакеты. Такая мера явно направлена на уклонение от заражения машин в странах, где расположены разработчики.

В инфраструктуре жертвы атакующие также задействовали SharePoint Server в качестве центра управления, маскируя вредоносную активность под обычную корпоративную деятельность. Через него передавались команды, выполнявшиеся трояном на языке C#, получившим доступ к системе через файлы «agents.exe» и «agentx.exe», передаваемые по протоколу SMB. Эти исполняемые файлы взаимодействовали с web-оболочкой CommandHandler.aspx, установленной на SharePoint, выполняя команды злоумышленников.

Атака сочетает распространённые методы проникновения и тактику « Living off the Land », при которой легитимные корпоративные сервисы используются как инструменты контроля. Такие приёмы соответствуют техникам MITRE ATT&CK T1071.001 и T1047, что делает их особенно труднообнаружимыми традиционными средствами.

После первичной разведки злоумышленники сосредотачивались на машинах, представляющих интерес. С них запускались скрипты через «cmd.exe», загружавшие вредоносные HTA-файлы с внешнего источника, домен которого маскировался под официальный ресурс GitHub. Хотя точный функционал загружаемого содержимого пока неизвестен, известно, что один из ранее применённых скриптов инициировал обратную оболочку, предоставляя полный удалённый контроль над системой.

Для сбора информации использовался обширный набор инструментов. Модифицированная версия средства Pillager позволяла похищать логины из браузеров и терминалов, файлы, переписку, e-mail, снимки экрана и другую чувствительную информацию. Инструмент Checkout собирал сведения о скачанных файлах и платёжных данных, включая данные из браузеров вроде Chrome, Opera, Brave и других. Утилита RawCopy применялась для извлечения сырых файлов реестра, а Mimikatz использовался для выгрузки учётных данных пользователей.

APT41 продемонстрировала высокий уровень адаптивности, подстраивая вредоносные модули под особенности инфраструктуры жертвы. Кроме того, злоумышленники активно использовали комбинации легитимных и собственных средств, включая инструменты для тестирования на проникновение, чтобы маскировать атаку под действия внутренних сотрудников.

Эта операция в Африке указывает на смену географического фокуса APT41 и подчёркивает растущее внимание китайских киберподразделений к регионам, ранее остававшимся вне их прицела. По данным Trend Micro, первые признаки активности в этом направлении наблюдались ещё в конце 2022 года. Использование внутренних корпоративных сервисов в роли каналов управления и сбора данных подтверждает эволюцию подходов, где грань между пентестами и атаками в реальных условиях практически стёрта.