Исследователи Palo Alto Networks Unit 42 рассказали о новой прогосударственной хакерской группе, связанной с Китаем. Её назвали Phantom Taurus, и последние два с половиной года она охотится на правительственные и телекоммуникационные организации в Африке, на Ближнем Востоке и в Азии.
Кто в прицеле
По словам исследователя Unit 42 Лиор Рохбергер, основные цели группы — министерства иностранных дел, посольства, а также структуры, вовлечённые в геополитические события и военные операции. «Главная задача группы — шпионаж. Их атаки отличаются скрытностью, настойчивостью и способностью быстро менять тактики, техники и процедуры», — отметила Рохбергер.
Группу впервые задокументировали ещё в июне 2023 года под кодовым именем CL-STA-0043. В мае её повысили до статуса временной группы TGR-STA-0043 — после того как всплыли подробности о длительной шпионской кампании против государственных структур, которую исследователи ведут с конца 2022 года и назвали Operation Diplomatic Specter. Теперь, накопив достаточно наблюдений, Unit 42 выделил кластер в самостоятельного участника угроз: его цель — долгосрочный сбор разведданных и конфиденциальной информации, представляющей экономический и геополитический интерес для Китая.
Компания отмечает, что группу интересуют дипломатическая переписка, разведданные оборонного характера и работа ключевых правительственных ведомств, а сроки и география атак часто совпадают с крупными мировыми событиями и вопросами региональной безопасности. Похожую логику исследователи Recorded Future отмечали и у другой китайской группировки — RedNovember, атаковавшей объекты на Тайване и в Панаме в периоды значимых для Китая геополитических и военных событий.
Собственный инструментарий и общая инфраструктура
Phantom Taurus выделяется использованием редко встречающихся кастомных инструментов — в частности, ранее неизвестного набора малвари NET-STAR, написанного на .NET и нацеленного на веб-серверы Internet Information Services (IIS). При этом группа частично пользуется общей операционной инфраструктурой, которую ранее применяли AT27 (Iron Taurus), APT41 (Starchy Taurus, он же Winnti) и Mustang Panda (Stately Taurus). Однако именно её собственные элементы инфраструктуры в атаках других группировок не встречались — это указывает на своеобразную «операционную сегментацию» внутри общей экосистемы.
Точный первоначальный вектор проникновения пока не установлен, но в прежних атаках группа эксплуатировала уязвимости в незащищённых локальных серверах IIS и Microsoft Exchange, включая ProxyLogon и ProxyShell. «Пока мы видим эксплуатацию известных уязвимостей IIS и Exchange, но это не значит, что так будет и дальше — группа очень изобретательна и мотивирована, они найдут способ проникнуть тем или иным путём», — рассказал изданию The Hacker News Асаф Дахан, директор по исследованию угроз в Unit 42.
От почты — к базам данных
Ещё одна заметная перемена в тактике: если раньше группа собирала переписку, то теперь она напрямую нацеливается на базы данных. Для этого используется bat-скрипт, который подключается к базе SQL Server, выгружает результаты запроса в формате CSV и завершает соединение; выполняется скрипт через инфраструктуру Windows Management Instrumentation (WMI). Таким способом Phantom Taurus методично искала интересующие её документы и сведения, связанные, в частности, с Афганистаном и Пакистаном.
Три бэкдора NET-STAR
Набор NET-STAR включает три веб-бэкдора для закрепления в скомпрометированной среде IIS, каждый со своей функцией:
- IIServerCore — бесфайловый модульный бэкдор, загружаемый через ASPX веб-шелл; поддерживает выполнение в памяти команд, произвольных команд и полезных нагрузок, а результаты передаёт по зашифрованному каналу управления (C2);
- AssemblyExecuter V1 — загружает и запускает в памяти дополнительные .NET-нагрузки;
- AssemblyExecuter V2 — усовершенствованная версия первого инструмента, дополнительно умеющая обходить Antimalware Scan Interface (AMSI) и Event Tracing for Windows (ETW).
«NET-STAR демонстрирует продвинутые техники обхода защиты и глубокое понимание архитектуры .NET, представляя серьёзную угрозу для серверов, доступных из интернета», — заявили в Unit 42. Отдельно отмечается, что IIServerCore поддерживает команду changeLastModified — это говорит об активных возможностях таймстомпинга, то есть подмены временных меток файлов, призванной запутать аналитиков безопасности и инструменты цифровой криминалистики.
Источник: The Hacker News.