0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Зашли, осмотрелись и остались на пять лет. Как выглядит «гостеприимство» в сетях военных ведомств

leer en español

Palo Alto Networks CL-STA-1087 Китай AppleChris MemFun кибершпионаж военные сети
Зашли, осмотрелись и остались на пять лет. Как выглядит «гостеприимство» в сетях военных ведомств
Palo Alto Networks CL-STA-1087 Китай AppleChris MemFun кибершпионаж военные сети

Хозяева даже не подозревали, что в их кабинетах давно сменили замки.

image

Специалисты Palo Alto Networks выявили масштабную кибершпионскую кампанию, направленную против военных организаций стран Юго-Восточной Азии. Активность связывают с группировкой, предположительно действующей из Китая. Операция, получившая обозначение CL-STA-1087, продолжается как минимум с 2020 года и отличается скрытностью и точечным сбором разведданных.

Атака раскрылась после внедрения системы мониторинга, которая зафиксировала подозрительные PowerShell-команды внутри сети одной из целей. Анализ показал, что злоумышленники закрепились в инфраструктуре задолго до обнаружения и могли месяцами сохранять доступ, не проявляя активности. Вредоносные скрипты запускались с задержкой в несколько часов и устанавливали соединение с управляющими серверами.

После «спящего» периода группа возобновила действия и начала распространяться по сети. Для этого использовали легитимные инструменты Windows, включая WMI и .NET, что усложняло обнаружение. Под удар попали контроллеры домена, серверы и рабочие станции, включая устройства руководящего уровня. Для закрепления злоумышленники регистрировали вредоносные библиотеки в системных службах и применяли перехват DLL.

Ключевую роль в атаке играли два бэкдора — AppleChris и MemFun. Первый обеспечивал полный удалённый контроль над системой, включая запуск команд, работу с файлами и создание скрытых процессов. Второй действовал преимущественно в памяти, избегая записи на диск, и загружал модули в зависимости от задач операции. Оба инструмента использовали нестандартный механизм получения адресов управляющих серверов через публичные сервисы вроде Pastebin, что позволяло гибко менять инфраструктуру.

Дополнительно злоумышленники применяли модифицированную версию утилиты для кражи учётных данных, получившую название Getpass. Программа извлекала пароли и хэши из памяти системы и сохраняла их в файле, маскирующемся под системную базу данных.

Целью кампании стал не массовый сбор информации, а точечный поиск документов, связанных с военными возможностями, структурой командования и взаимодействием с западными армиями. Анализ активности показал, что операции проводились в рабочее время по часовому поясу UTC+8, что совпадает с графиком в Китае. Дополнительные признаки, включая использование китайской облачной инфраструктуры и элементы интерфейса на упрощённом китайском языке, усиливают эту версию.

По оценке специалистов, CL-STA-1087 демонстрирует высокий уровень подготовки и терпения. Группа выстраивает долгосрочное присутствие в сетях целей и тщательно скрывает следы, что делает кампанию одной из наиболее устойчивых в регионе за последние годы.