«Менеджер» с архивом и черным ходом через Yandex. Как группировка APT31 годами шпионила за российскими IT-компаниями

Positive Technologies apt31 облако бэкдор фишинг инфраструктура
«Менеджер» с архивом и черным ходом через Yandex. Как группировка APT31 годами шпионила за российскими IT-компаниями
Positive Technologies apt31 облако бэкдор фишинг инфраструктура

IT-сектор пережил одну из самых сложных кибератак в истории.

image

Российский IT-сектор в 2024–2025 годах оказался в центре одной из самых длительных и сложных кибершпионских кампаний, организованных группировкой APT31. Атаки были направлены преимущественно против интеграторов и подрядчиков, работающих с государственными заказчиками, а также против IT-компаний, обеспечивающих сервисы для крупных инфраструктурных объектов. Исследователи Positive Technologies смогли связать множество эпизодов в единую картину, выявив общую тактику, набор инструментов и методы ухода от обнаружения.

Основой кампании стала многоуровневая схема получения доступа, разведки, закрепления и эксфильтрации данных. Первичное проникновение чаще всего происходило через фишинговые письма с архивами, в которых находились LNK-файлы, подменяющие документ-приманку и запускающие загрузчик CloudyLoader. При этом злоумышленники использовали корпоративную лексику, прикрывались ролями менеджеров по закупкам и отправляли архивы с правдоподобными названиями. Аналогичные приемы применялись и против компаний из других стран, что указывает на широкую географию атак.

После первичного проникновения APT31 активно использовала легитимные утилиты и собственные инструменты для дальнейшего продвижения в сети. В инфраструктуре жертв обнаружены CloudSorcerer, LocalPlugx, GrewApacha, COFFProxy, VtChatter, OneDriveDoor и другие модули. Каждый инструмент выполнял свою роль: от скрытого канала связи до кейлоггера или бэкдора, имплантируемого через DLL sideloading. Одна из особенностей APT31 — маскировка под легитимные программы: вредоносные DLL заменяли библиотеку в цепочке загрузки, а основной исполняемый файл выглядел как системный компонент.

Значимой частью атаки было применение облачных сервисов. Команды к вредоносам передавались через OneDrive, Dropbox, соцсети и даже комментарии к файлам на VirusTotal. Такие коммуникации не отличались от обычного сетевого трафика, что резко снижало вероятность обнаружения. Отдельные бэкдоры работали в режиме серверов и ожидали подключения злоумышленников снаружи.

APT31 тщательно изучала инфраструктуру жертвы: использовались инструменты для извлечения паролей из браузеров, анализа Sticky Notes, поиска RDP-подключений и выгрузки данных о пользователях из событий безопасности. Для сетевой разведки применялся Advanced IP Scanner, что позволяло быстро картировать устройства и сервисы внутри сети.

Закрепление в системах строилось вокруг планировщика задач. Атакующие создавали задания с названиями, похожими на привычные процессы, включая GoogleUpdater, YandexDisk, NVIDIA и другие. В некоторых случаях задачи скрывались путем удаления конфигурационных файлов и дескрипторов безопасности, что делало их невидимыми даже для опытных администраторов. На отдельных хостах применялась уникальная техника запуска системного файла Setup.exe с ошибкой, которая перенаправляла выполнение в модифицированный скрипт ErrorHandler.cmd.

Для скрытого туннелирования трафика использовались Tailscale VPN и Microsoft dev tunnels. Эти решения работали через легитимные домены, не требовали открытия входящих портов и обеспечивали стабильный канал доступа к внутренним сервисам. Некоторые вредоносы также поддерживали SOCKS5-прокси для пересылки трафика между узлами.

В расследуемых эпизодах выявлена высокая степень подготовки злоумышленников. Логи кейлоггера LocalPlugx показали, что выполнявшиеся команды копировались из заранее подготовленного сценария. Это означает, что APT31 использовала жестко прописанные процедуры для достижения целей внутри инфраструктуры, сокращая вероятность ошибок и упрощая автоматизацию атак.

Для эксфильтрации данных применялась утилита YaLeak. Она выгружала файлы из публичных директорий на Яндекс.Диск злоумышленников, после чего автоматически удаляла их на стороне жертвы. Помимо файлов, APT31 выгружала учетные данные, включая пароли пользователей Exchange через внедрение вредоносного модуля OWOWA в IIS.

Исследователи отмечают, что за счет комбинации легитимных сервисов, новых вредоносов, многоуровневых схем закрепления и продуманного тайминга атак APT31 удавалось оставаться незамеченной в инфраструктуре годами. Кампания демонстрирует переход группы к гибридной модели операций, где облака становятся основой командной инфраструктуры, а вредоносы — узкоспециализированными инструментами под конкретные задачи.

Группа продолжает активность, расширяет арсенал и адаптируется к новым условиям, что делает ее одной из наиболее устойчивых и технологичных APT-группировок, действующих против российского IT-сектора.