Файл на пару мегабайт, который может обрушить сеть. Краткий экскурс по новому вирусу из Китая

Иногда самая опасная вредоносная программа выглядит как обычный файл, который никто не заметил. Именно так и случилось с новым образцом, связанным с группировкой APT41: файл не вызывал ни одного срабатывания антивирусов и спокойно существовал в сети больше двух лет.

Всё началось с находки специалиста под псевдонимом @TuringAlex. Он обнаружил исполняемый файл для Linux размером около 2,7 МБ. На первый взгляд – очередной троян, которых тысячи. Но при разборе выяснилось, что речь идёт о продвинутом инструменте, который ворует учётные данные из облачных сервисов и работает крайне скрытно.

Файл представляет собой бинарный ELF-файл для архитектуры x86_64. Код намеренно запутали до предела, так что обычный анализ почти ничего не даёт. Защита выполнена не стандартной упаковкой, а более сложным методом – с преобразованием инструкций, что требует отдельного инструмента для расшифровки.

Вредоносная программа связывается с тремя доменами управления, которые маскируются под китайские технологические компании. Например, один из доменов подменяет букву «l» на цифру «1», из-за чего адрес выглядит почти как настоящий. Все три домена ведут на один и тот же IP-адрес в облаке Alibaba в Сингапуре. Этот сервер больше двух лет не попадал ни в одну публичную базу и не светился в сканерах интернета.

Сервер управления ведёт себя необычно. Он не отвечает на обычные проверки, сканирование портов и попытки подключения. Ответ приходит только при правильном «приветствии» от заражённого устройства. В остальных случаях сервер полностью «молчит». Для передачи команд используется в том числе порт 25, который обычно применяют для электронной почты. Такой выбор помогает скрывать трафик, поскольку многие системы безопасности не проверяют его тщательно.

Главная задача программы – сбор данных из облачной инфраструктуры. Она обращается к специальному адресу 169.254.169.254, который используется внутри облаков для выдачи служебной информации. Через этот механизм можно получить учётные данные и токены доступа. Программа умеет извлекать ключи и токены из Amazon Web Services, Google Cloud, Microsoft Azure и Alibaba Cloud. Если злоумышленник получает доступ к таким данным, атака может быстро выйти за пределы одного сервера и охватить всю облачную среду.

После проникновения вредоносная программа пытается закрепиться и распространиться дальше. Для этого она рассылает UDP-пакеты по широковещательному адресу внутри сети, чтобы найти другие устройства. Затем злоумышленники могут использовать украденные учётные данные для дальнейшего перемещения по инфраструктуре.

Связь с APT41 подтверждается сразу несколькими факторами. Разные аналитические платформы относят файл к семейству Winnti, а код совпадает с более ранними инструментами этой группы, которые применялись с 2020 года. Среди них – PWNLNX, RedXOR, AzazelFork, SprySOCKS и Melofee. Новый образец продолжает ту же линию развития. APT41, также известная как Winnti, Wicked Panda и Double Dragon, связана с Министерством государственной безопасности Китая. Группировка известна тем, что сочетает кибершпионаж с финансово мотивированными атаками.

В результате получился не просто очередной вредоносный инструмент для Linux, а инструмент, рассчитанный на работу в облаке и кражу ключей доступа ко всей инфраструктуре. Минимум следов, долгоживущая инфраструктура и точечная маскировка под легитимные сервисы демонстрируют высокий уровень подготовки злоумышленников.