APT31 атаковала российские ИТ-фирмы через облачные сервисы

APT31 атаковала российские ИТ-фирмы через облачные сервисы

Зафиксирована серия скрытных кибератак на российские компании сектора информационных технологий (IT), осуществляемых группой APT31, связанной с китайскими спецслужбами. Согласно отчету специалистов Positive Technologies Даниила Григоряна и Варвары Колосковой, атаки продолжались в течение периода с конца 2024 по начало 2025 годов и оставались незамеченными довольно долгое время.

APT31, также известная под различными обозначениями (Altaire, Bronze Vinewood, Judgement Panda, PerplexedGoblin, RedBravo, Red Keres, Violet Typhoon и ранее Zirconium), функционирует, вероятно, с 2010 года. Группировка специализируется на проведении целенаправленных операций кибершпионажа с целью сбора секретной информации, важной для китайских властей и крупных компаний Китая. Её потенциальные жертвы включают государственные структуры, финансовые организации, оборонную и аэрокосмическую отрасли, сферу высоких технологий, строительства, телекоммуникаций, страхования и медиаиндустрию.

Особенностью последних атак, направленных на российскую территорию, является активное применение легитимных российских облачных сервисов, таких как Yandex Cloud, для осуществления управляющих воздействий и незаметного похищения данных. Использование известных брендов способствует тому, что преступные операции сливаются с потоком обычного интернет-трафика, затрудняя выявление подозрительной активности.

Исследования указывают на наличие ряда отличительных черт в действиях группы APT31:

Размещение инструкций и вредоносных нагрузок в профили социальных сетей, расположенных как в Китае, так и за пределами КНР.
Проведение нападений преимущественно в выходные и праздничные дни, когда уровень бдительности сотрудников снижается.
Один из случаев компрометации российского IT-подрядчика произошёл ещё в конце 2022 года, однако активные действия начались лишь спустя некоторое время — в новогоднюю ночь 2023-го.
Другой инцидент зафиксирован в декабре 2024 года, когда группе удалось проникнуть в инфраструктуру крупной IT-компании путём отправки фишингового письма с вложением в виде RAR-архива, содержащего вредоносный файл LNK, активирующий загрузчик Cobalt Strike («CloudyLoader») через загрузку библиотеки DLL. Ранее похожая схема была отмечена специалистами «Лаборатории Касперского» летом 2025 года, связавших атаку с деятельностью группировки EastWind.

Помимо активного внедрения троянов и бэкдоров, группа регулярно применяет разнообразные общедоступные и специализированные инструменты для поддержания устойчивой инфраструктуры атакующих:

• SharpADUserIP — разведочный инструмент на языке программирования C#, применяемый для выявления потенциальных целей.
• SharpChrome.exe — используется для краха паролей и cookie-файлов из браузеров Google Chrome и Microsoft Edge.
• SharpDir — специальный поисковик файлов.
• StickyNotesExtract.exe — программа для чтения баз данных заметок Windows Sticky Notes.
• Tailscale VPN — применяется для формирования шифрованных тоннелей и однорангового обмена между скомпрометированной машиной и внешним центром управления.
• Owawa — компонент, разработанный для воровства учетных данных через уязвимости веб-сервера IIS.
• AufTime — Linux-бэкдор, использующий WolfSSL для коммуникации с управляющим сервером.
• COFFProxy — инструмент на языке Go, позволяющий управлять сетевым трафиком, исполнять команды и доставлять дополнительную вредоносную нагрузку.
• VtChatter — создает скрытый канал связи с командой злоумышленников через комментарии к файлам на сервисе VirusTotal.
• OneDriveDoor — бэкдор, задействующий Microsoft OneDrive для удалённого управления инфицированными компьютерами.
• LocalPlugX — вариант опасного бэкдора PlugX, адаптируемый для внутреннего распространения внутри корпоративной сети.
• YaLeak — специализированный инструмент на платформе .NET, ориентированный на выгрузку украденных данных в облако сервиса Яндекс.

По словам представителей Positive Technologies, APT31 систематически развивает своё техническое оснащение, хотя сохраняет и старые эффективные решения. Примечательно, что многие инструменты APT31 настроены на работу в пассивном режиме, ожидая подключений злоумышленников, что облегчает удержание позиций в инфраструктурах жертв.

Эти меры позволяют APT31 годами скрывать присутствие в корпоративных сетях и незаметно собирать чувствительную информацию, такую как личные электронные адреса сотрудников, доступы к корпоративным серверам и другим важным объектам инфраструктуры организаций-жертв.