От Лондона до Бангкока: карта кибератак APT41

В сотрудничестве с аналитической группой Google по угрозам (TAG), компания Mandiant выявила масштабную кампанию группы APT41, нацеленную на компрометацию организаций в различных секторах. Среди пострадавших оказались компании в сферах глобальной логистики, медиа и развлечений, технологий и автомобильной промышленности. Большинство атакованных организаций находились в Италии, Испании, Тайване, Таиланде, Турции и Великобритании.

Группа APT41 смогла успешно проникнуть в сети множества компаний и поддерживать несанкционированный доступ с 2023 года, что позволило злоумышленникам в течение длительного времени извлекать конфиденциальные данные.

APT41 использовала комбинацию веб-оболочек ANTSWORD и BLUEBEAM для выполнения зловредного ПО DUSTPAN, которое загружало BEACON для командно-контрольной связи. На более поздних этапах атаки применялась утилита DUSTTRAP, обеспечивающая прямое вмешательство злоумышленников в системы. Для копирования данных из баз данных применялся SQLULDR2, а для их эксфильтрации на Microsoft OneDrive — PINEGROVE.

Недавно Mandiant выявила использование APT41 веб-оболочек ANTSWORD и BLUEBEAM на сервере Tomcat Apache Manager, активных с 2023 года. Эти оболочки позволили загружать DUSTPAN, который загружал и выполнял в памяти BEACON.

На следующем этапе атаки, APT41 применила DUSTTRAP, который расшифровывал и исполнял вредоносный код, оставляя минимальные следы. Этот код устанавливал каналы связи с инфраструктурой, контролируемой APT41, или с компрометированными аккаунтами Google Workspace, что позволяло злоумышленникам маскировать свои действия под легитимный трафик. Все скомпрометированные аккаунты Google Workspace были успешно восстановлены.

Для эксфильтрации данных APT41 использовала SQLULDR2 для экспорта данных из баз данных Oracle и PINEGROVE для передачи больших объемов данных на OneDrive.

Mandiant и Google TAG уведомили множество организаций о компрометации. Атаки охватили компании из различных секторов в странах Европы и Азии. Большинство атакованных организаций в сфере логистики находились в Европе и на Ближнем Востоке, а в секторе медиа и развлечений — в Азии.

Некоторые компании из логистического сектора, пострадавшие от атак, работают на нескольких континентах и являются филиалами крупных многонациональных корпораций.

APT41 — это китайская кибергруппа, известная как государственными шпионскими операциями, так и финансово мотивированными атаками. Группа специализируется на краже исходных кодов, манипуляциях с виртуальными валютами и попытках внедрения программ-вымогателей. APT41 также известна использованием нестандартного вредоносного ПО и сложных техник, таких как компрометация цепочки поставок ПО и использование украденных цифровых сертификатов.

Выявленная кампания APT41 демонстрирует высокий уровень угрозы для глобальных корпораций. Используемые методы и инструменты указывают на серьезную подготовку и техническую оснащенность группы. Компании из различных секторов, особенно работающие на международных рынках, должны быть настороже и принимать меры для защиты своих систем и данных от подобных атак.