Пять месяцев в сетях российской IT-компании. Группировка Jewelbug получила доступ к исходному коду и системам сборки

leer en español

Jewelbug Yandex Cloud Symantec Finaldraft OneDrive Palo Alto цепочка поставок Россия
Пять месяцев в сетях российской IT-компании. Группировка Jewelbug получила доступ к исходному коду и системам сборки
Jewelbug Yandex Cloud Symantec Finaldraft OneDrive Palo Alto цепочка поставок Россия

Обнаруженные следы указывают на тщательную подготовку атаки через цепочку поставок.

image

На фоне роста активности китайских кибергрупп на территории Российской Федерации появилась тревожная новость. Согласно недавнему отчёту Symantec, APT-коллектив Jewelbug проник в сеть неназванного российского IT-поставщика и провёл там длительную операцию, имевшую признаки подготовки к атаке через цепочку поставок. Обнаруженные следы указывают на доступ к репозиториям исходного кода и системам сборки, а также на выгрузку данных через облачную платформу Yandex Cloud — выбор, который, по мнению авторов отчёта, мог быть обусловлен желанием не вызывать подозрений у российских заказчиков.

Атака велась с использованием приёмов «living off the land» — переименование Microsoft Console Debugger (cdb.exe) в «7zup.exe», дампинг учётных данных, создание задач schtasks для закрепления и очистка журналов событий Windows. На целевых машинах были выявлены образцы с именем «yandex2.exe», применявшиеся для эксфильтрации. Хронология указывает на присутствие злоумышленников с января по май 2025 года, что позволяет говорить о целенаправленной и терпеливой кампании.

Параллельно команда Symantec наблюдала вмешательства Jewelbug в инфраструктуры других регионов: в Южной Америке злоумышленники развернули новый бэкдор, использующий Microsoft Graph API и OneDrive в роли командных серверов, а тайваньская жертва подверглась загрузке ShadowPad и эксплуатации уязвимых драйверов в технике BYOVD. В арсенале группы также отмечены инструменты Finaldraft, Pathloader и Guidloader, сетевые каналы через DNS и ICMP, а для маскировки трафика применялись общедоступные туннели и прокси-решения.

С учётом того, что до сих пор большинство операций подобных китайских групп было зафиксировано в Азии и Латинской Америке, вмешательство в российскую инфраструктуру выглядит примечательно — оно отражает смещение зон интересов и подчёркивает риск для клиентов поставщиков ПО.

Авторы отчёта рекомендуют проверять целостность систем сборки, ограничивать выполнение отладочных утилит и проводить аудит внешних облачных соединений, чтобы минимизировать вероятность широкомасштабной компрометации через обновления и распространение ПО.