Наследили в настройках. Китайские хакеры выдали себя любовью к родному языку и редкому софту

Специалисты подразделения Unit 42 компании Palo Alto Networks раскрыли многолетнюю кибероперацию против организаций в странах Азии. Кампания, получившая обозначение CL-UNK-1068, оставалась вне поля зрения как минимум с 2020 года и затрагивала структуры с высокой ценностью данных — от государственных ведомств до энергетики, авиации и телекоммуникаций.

Анализ показывает устойчивую активность против компаний и учреждений Южной, Юго-Восточной и Восточной Азии. Среди целей оказались авиационная отрасль, государственные структуры, правоохранительные органы, фармацевтика, технологические компании и телекоммуникационный сектор. Команда Unit 42 связывает кампанию с группой, использующей китайский язык. На такую оценку указывают происхождение инструментов, языковые следы в конфигурационных файлах и выбор целей.

После проникновения злоумышленники закреплялись в инфраструктуре с помощью веб-оболочек GodZilla и модифицированной версии AntSword. Через них операторы получали доступ к серверам, перемещались по сети и искали базы данных. Одной из первых задач становилось извлечение конфигурационных файлов веб-сайтов из каталога c:/inetpub/wwwroot. Среди похищенных данных встречались web.config, различные ASP-файлы и библиотеки DLL. Содержимое помогало находить учётные данные и уязвимости в коде сайтов.

Похищенные файлы архивировали через WinRAR, затем кодировали в Base64 с помощью certutil и выводили текст прямо в консоль веб-оболочки. Такой подход позволял передавать информацию с сервера без прямой пересылки файлов. Кроме конфигурационных данных злоумышленники забирали историю браузеров, закладки, таблицы XLSX и CSV с рабочих столов пользователей, а также резервные копии баз данных MSSQL.

Кампания отличалась гибким набором инструментов для Windows и Linux. Операторы активно применяли открытые утилиты, популярные в китайских хакерских сообществах, включая GodZilla, AntSword и Fast Reverse Proxy. Один из приёмов заключался в запуске вредоносных библиотек через механизм подгрузки DLL при помощи легитимных исполняемых файлов Python. Такой способ позволял скрытно загружать дополнительные компоненты.

В инфраструктуре жертв обнаружен и собственный инструмент ScanPortPlus, написанный на языке Go. Программа сканировала сети, проверяла адреса и порты, а также искала уязвимости на серверах. Для долгосрочного закрепления использовалась модифицированная версия Fast Reverse Proxy с уникальными признаками конфигурации — например, токеном аутентификации frpforzhangwei и единым паролем во всех образцах.

На Linux-серверах специалисты также фиксировали установку бэкдора Xnote. Программа поддерживает удалённое управление системой и может запускать распределённые атаки отказа в обслуживании.

Для разведки внутри сети применялись специальные сценарии командной строки. Скрипты собирали сведения о пользователях, процессах, сетевых соединениях, установленных программах и истории подключений к удалённым серверам. Результаты сохранялись в текстовые файлы, после чего архивировались и выводились через оболочку.

Отдельное внимание злоумышленники уделяли похищению учётных данных. В атаках применялись инструменты Mimikatz и LsaRecorder для извлечения паролей из памяти, а также DumpIt и фреймворк Volatility для анализа дампов памяти и получения хешей учётных записей. В некоторых случаях операторы пытались извлекать сохранённые пароли из конфигурации SQL Server Management Studio.

Поведение внутри инфраструктуры и выбор целей указывают на возможный кибершпионаж как основную цель операции. Группа активно искала содержимое баз данных и конфигурации критических систем. При этом специалисты не исключают и коммерческий интерес — украденные данные могли использоваться для вымогательства или продажи на подпольных площадках.