0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Google Drive теперь работает на китайскую разведку. Посмотрите, как хакеры освоились в облаке

leer en español

Silver Dragon APT41 Китай Google Drive Европа Азия
Google Drive теперь работает на китайскую разведку. Посмотрите, как хакеры освоились в облаке
Silver Dragon APT41 Китай Google Drive Европа Азия

Хакеров APT41 заподозрили в атаках на госструктуры через уязвимое ПО.

image

Группировка Silver Dragon несколько лет тихо атакует государственные структуры и крупные организации в Европе и Юго-Восточной Азии. Злоумышленники взламывают публичные серверы, рассылают фишинговые письма и устанавливают вредоносные инструменты, которые маскируются под обычные процессы Windows. Одну из последних операций специалисты компании Check Point подробно разобрали и обнаружили новый бэкдор, который общается с операторами через Google Drive.

Активность Silver Dragon заметили как минимум с середины 2024 года. По ряду признаков кампания связана с китайской группировкой APT41. Основная цель атак – государственные учреждения, хотя под удар попали и другие организации. Чаще всего злоумышленники получают доступ через уязвимые интернет-серверы. В некоторых случаях используют фишинговые письма с вредоносными вложениями.

После проникновения в систему атакующие закрепляются и запускают инструменты удалённого управления. Во многих атаках конечной нагрузкой становится Beacon из набора Cobalt Strike. Связь с управляющими серверами нередко проходит через DNS-туннелирование, что помогает скрыть сетевую активность и обходить часть средств обнаружения.

Анализ показал три основные цепочки заражения. Две из них используют архивы с установочными сценариями и вредоносными библиотеками. Сценарий копирует файлы в системные каталоги Windows, после чего подменяет параметры запуска легитимных служб. Такой приём заставляет систему загружать вредоносный код вместе с обычными компонентами операционной системы. Для закрепления злоумышленники также удаляют и заново создают службы Windows, чтобы заставить систему выполнить заражённый процесс.

В одной из цепочек используется техника AppDomain hijacking. Вредоносный файл конфигурации меняет точку входа приложения и перенаправляет выполнение на загрузчик MonikerLoader. Загрузчик расшифровывает следующий модуль и запускает его напрямую в памяти. В финале система получает Beacon из Cobalt Strike.

Вторая схема работает проще. Архив содержит загрузчик BamboLoader и зашифрованный shell-код. Сценарий помещает файлы в системные каталоги, затем регистрирует библиотеку как службу Windows. После запуска BamboLoader расшифровывает код, распаковывает его и внедряет в процесс Windows, например taskhost.exe. Дальше выполняется тот же Beacon.

Отдельная кампания использовала фишинговые письма. Получатели открывали вложение в формате ярлыка LNK. Файл запускал командную строку и PowerShell, который извлекал из самого ярлыка несколько скрытых компонентов. Среди них находился легитимный исполняемый файл, вредоносная библиотека и зашифрованный полезный груз. Документ-приманка открывался для отвлечения внимания, а вредоносная библиотека загружалась через механизм подмены DLL.

Помимо стандартных инструментов Silver Dragon использует собственные программы. Одна из них, SilverScreen, постоянно делает снимки экрана пользователя. Программа следит за изменениями изображения и сохраняет кадры только при заметных изменениях, чтобы экономить место и не вызывать подозрений.

Ещё один инструмент, SSHcmd, позволяет выполнять команды и передавать файлы по протоколу SSH. Программа принимает параметры подключения через командную строку и может запускать команды, открывать интерактивную оболочку или копировать файлы между системами.

Самый необычный компонент получил название GearDoor. Бэкдор использует Google Drive как канал управления. Каждой заражённой машине создаётся отдельная папка в облаке, через которую вредоносная программа получает команды и отправляет результаты. Задания передаются в виде файлов с разными расширениями. Например, файлы .cab содержат команды для системы, а файлы .rar могут доставлять новые модули или обновления.

GearDoor способен выполнять широкий набор операций: просматривать процессы, получать сетевые параметры, копировать файлы, выполнять команды оболочки и загружать дополнительные модули. Для передачи данных бэкдор шифрует содержимое и отправляет результат обратно в Google Drive.

Анализ инфраструктуры и инструментов показал сходство с методами, которые ранее применяла APT41. Установочные сценарии, схема загрузки библиотек и даже некоторые параметры Beacon совпадают с образцами, которые специалисты фиксировали в прошлых кампаниях китайской группировки. Вредоносные файлы также имеют временны́е метки, совпадающие с часовым поясом Китая. Специалисты детально задокументировали эти совпадения и связали активность с уже известной инфраструктурой.

Набор инструментов Silver Dragon продолжает развиваться. Злоумышленники тестируют новые способы закрепления в системе и активно используют облачные сервисы для управления заражёнными машинами. Такой подход помогает скрывать активность внутри обычного сетевого трафика и усложняет обнаружение атак.