- 19,423
- 40
- 8 Ноя 2022
Невидимая атака, от которой не спасла даже изоляция от интернета.
Китайская группировка Weaver Ant более четырёх лет вела скрытую кибершпионскую операцию внутри сети крупного телекоммуникационного провайдера в Азии. Для маскировки своего присутствия и маршрутизации трафика злоумышленники использовали скомпрометированные маршрутизаторы Zyxel, развернув через них скрытую инфраструктуру.
Специалисты Sygnia, занимавшиеся расследованием инцидента, Для просмотра ссылки Войдиили Зарегистрируйся устойчивость атакующих ко множественным попыткам устранения, а также высокий уровень подготовки. Начав с внедрения классического веб-шелла China Chopper (в модифицированной версии с шифрованием AES), группировка постепенно внедрила более сложный инструмент INMemory. Веб-шелл выполняет полезные нагрузки напрямую в памяти сервера, используя стороннюю библиотеку eval.dll для незаметного запуска кода.
Ключевой особенностью операции стала уникальная архитектура управления. Weaver Ant использовала технику туннелирования веб-шеллов, когда несколько веб-шеллов, установленных на разных серверах, передавали зашифрованные команды друг другу. Это позволяло постепенно углублять доступ во внутренние сегменты сети, в том числе на изолированные от интернета серверы. Каждый элемент в цепочке работал как прокси, передавая и исполняя полезную нагрузку лишь на своём этапе.
Параллельно хакеры выстраивали собственную сеть ретрансляторов — ORB (operational relay box) — на базе домашних маршрутизаторов Zyxel. Устройства выступали в роли шлюзов, через которые шёл трафик между C2-серверами и веб-шеллами внутри инфраструктуры жертвы.
Для сбора информации использовались пассивные методы, минимизирующие вероятность обнаружения. Например, применялись зеркалирование портов и сбор сетевого трафика без установки дополнительных агентов. Также киберпреступники отключали защитные механизмы системы, такие как Event Tracing for Windows и AMSI, чтобы избежать обнаружения решениями защиты.
Передвижение внутри сети происходило через общие SMB-ресурсы и учётные записи с высокими привилегиями, использовавшие одни и те же пароли годами. Это позволило атакующим получить доступ к конфигурациям, журналам и другим чувствительным данным, необходимым для навигации в инфраструктуре и закрепления.
Согласно выводам Sygnia, действия группировки соответствуют целям государственного Для просмотра ссылки Войдиили Зарегистрируйся — упор делался на сбор технической информации и сохранение устойчивого присутствия, а не на кражу пользовательских данных или финансовых активов. Дополнительным аргументом в пользу китайского происхождения стали используемые инструменты, ранее связывавшиеся с Китаем, работа в азиатском часовом поясе и выбор моделей маршрутизаторов, популярных в регионе.
Для защиты от подобных угроз специалисты рекомендуют ограничивать внутренний сетевой трафик, активировать расширенное логирование IIS и PowerShell, внедрять принципы минимально необходимых привилегий и регулярно обновлять пароли. Также важно использовать сигнатурные методы для выявления известных веб-оболочек на ранних этапах атаки.
Китайская группировка Weaver Ant более четырёх лет вела скрытую кибершпионскую операцию внутри сети крупного телекоммуникационного провайдера в Азии. Для маскировки своего присутствия и маршрутизации трафика злоумышленники использовали скомпрометированные маршрутизаторы Zyxel, развернув через них скрытую инфраструктуру.
Специалисты Sygnia, занимавшиеся расследованием инцидента, Для просмотра ссылки Войди
Ключевой особенностью операции стала уникальная архитектура управления. Weaver Ant использовала технику туннелирования веб-шеллов, когда несколько веб-шеллов, установленных на разных серверах, передавали зашифрованные команды друг другу. Это позволяло постепенно углублять доступ во внутренние сегменты сети, в том числе на изолированные от интернета серверы. Каждый элемент в цепочке работал как прокси, передавая и исполняя полезную нагрузку лишь на своём этапе.
Параллельно хакеры выстраивали собственную сеть ретрансляторов — ORB (operational relay box) — на базе домашних маршрутизаторов Zyxel. Устройства выступали в роли шлюзов, через которые шёл трафик между C2-серверами и веб-шеллами внутри инфраструктуры жертвы.
Для сбора информации использовались пассивные методы, минимизирующие вероятность обнаружения. Например, применялись зеркалирование портов и сбор сетевого трафика без установки дополнительных агентов. Также киберпреступники отключали защитные механизмы системы, такие как Event Tracing for Windows и AMSI, чтобы избежать обнаружения решениями защиты.
Передвижение внутри сети происходило через общие SMB-ресурсы и учётные записи с высокими привилегиями, использовавшие одни и те же пароли годами. Это позволило атакующим получить доступ к конфигурациям, журналам и другим чувствительным данным, необходимым для навигации в инфраструктуре и закрепления.
Согласно выводам Sygnia, действия группировки соответствуют целям государственного Для просмотра ссылки Войди
Для защиты от подобных угроз специалисты рекомендуют ограничивать внутренний сетевой трафик, активировать расширенное логирование IIS и PowerShell, внедрять принципы минимально необходимых привилегий и регулярно обновлять пароли. Также важно использовать сигнатурные методы для выявления известных веб-оболочек на ранних этапах атаки.
- Источник новости
- www.securitylab.ru
