Китайская хакерская группа APT31 тайно атаковала российские ИТ-компании, используя облачные сервисы для маскировки шпионской деятельности
Дата: 23.11.2025Просмотров: 6196
Китайская хакерская группа APT31 тайно атаковала российские ИТ-компании, используя облачные сервисы для маскировки шпионской деятельности
Зафиксирована серия скрытных кибератак на российские компании сектора информационных технологий (IT), осуществляемых группой APT31, связанной с китайскими спецслужбами. Согласно отчету специалистов Positive Technologies Даниила Григоряна и Варвары Колосковой, атаки продолжались в течение периода с конца 2024 по начало 2025 годов и оставались незамеченными довольно долгое время.
APT31, также известная под различными обозначениями (Altaire, Bronze Vinewood, Judgement Panda, PerplexedGoblin, RedBravo, Red Keres, Violet Typhoon и ранее Zirconium), функционирует, вероятно, с 2010 года. Группировка специализируется на проведении целенаправленных операций кибершпионажа с целью сбора секретной информации, важной для китайских властей и крупных компаний Китая. Её потенциальные жертвы включают государственные структуры, финансовые организации, оборонную и аэрокосмическую отрасли, сферу высоких технологий, строительства, телекоммуникаций, страхования и медиаиндустрию.
Особенностью последних атак, направленных на российскую территорию, является активное применение легитимных российских облачных сервисов, таких как Yandex Cloud, для осуществления управляющих воздействий и незаметного похищения данных. Использование известных брендов способствует тому, что преступные операции сливаются с потоком обычного интернет-трафика, затрудняя выявление подозрительной активности.
Исследования указывают на наличие ряда отличительных черт в действиях группы APT31:
Размещение инструкций и вредоносных нагрузок в профили социальных сетей, расположенных как в Китае, так и за пределами КНР.
Проведение нападений преимущественно в выходные и праздничные дни, когда уровень бдительности сотрудников снижается.
Один из случаев компрометации российского IT-подрядчика произошёл ещё в конце 2022 года, однако активные действия начались лишь спустя некоторое время — в новогоднюю ночь 2023-го.
Другой инцидент зафиксирован в декабре 2024 года, когда группе удалось проникнуть в инфраструктуру крупной IT-компании путём отправки фишингового письма с вложением в виде RAR-архива, содержащего вредоносный файл LNK, активирующий загрузчик Cobalt Strike («CloudyLoader») через загрузку библиотеки DLL. Ранее похожая схема была отмечена специалистами «Лаборатории Касперского» летом 2025 года, связавших атаку с деятельностью группировки EastWind.
Помимо активного внедрения троянов и бэкдоров, группа регулярно применяет разнообразные общедоступные и специализированные инструменты для поддержания устойчивой инфраструктуры атакующих:
• SharpADUserIP — разведочный инструмент на языке программирования C#, применяемый для выявления потенциальных целей.
• SharpChrome.exe — используется для краха паролей и cookie-файлов из браузеров Google Chrome и Microsoft Edge.
• SharpDir — специальный поисковик файлов.
• StickyNotesExtract.exe — программа для чтения баз данных заметок Windows Sticky Notes.
• Tailscale VPN — применяется для формирования шифрованных тоннелей и однорангового обмена между скомпрометированной машиной и внешним центром управления.
• Owawa — компонент, разработанный для воровства учетных данных через уязвимости веб-сервера IIS.
• AufTime — Linux-бэкдор, использующий WolfSSL для коммуникации с управляющим сервером.
• COFFProxy — инструмент на языке Go, позволяющий управлять сетевым трафиком, исполнять команды и доставлять дополнительную вредоносную нагрузку.
• VtChatter — создает скрытый канал связи с командой злоумышленников через комментарии к файлам на сервисе VirusTotal.
• OneDriveDoor — бэкдор, задействующий Microsoft OneDrive для удалённого управления инфицированными компьютерами.
• LocalPlugX — вариант опасного бэкдора PlugX, адаптируемый для внутреннего распространения внутри корпоративной сети.
• YaLeak — специализированный инструмент на платформе .NET, ориентированный на выгрузку украденных данных в облако сервиса Яндекс.
По словам представителей Positive Technologies, APT31 систематически развивает своё техническое оснащение, хотя сохраняет и старые эффективные решения. Примечательно, что многие инструменты APT31 настроены на работу в пассивном режиме, ожидая подключений злоумышленников, что облегчает удержание позиций в инфраструктурах жертв.
Эти меры позволяют APT31 годами скрывать присутствие в корпоративных сетях и незаметно собирать чувствительную информацию, такую как личные электронные адреса сотрудников, доступы к корпоративным серверам и другим важным объектам инфраструктуры организаций-жертв.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь!
Судебные баталии Белого дома против штатов: битва за регулирование искусственного интеллекта
Судебные баталии Белого дома против штатов: битва за регулирование искусственного интеллекта
Федеральное правительство готовит судебный удар по законам штатов, касающимся регулирования искусственного интеллекта, намереваясь утвердить единый национальный подход к стандартам ИИ. Этот шаг отражает нарастающие разногласия относительно баланса властей между федеральными органами и отдельными штатами в условиях стремительного развития новых технологий.
Tesla проводит масштабную релокацию производства: отказ от китайских компонентов в американских авто
Tesla проводит масштабную релокацию производства: отказ от китайских компонентов в американских авто
Автомобилестроительная индустрия переживает серьёзные изменения в логистической стратегии. Tesla активно трансформирует свою цепочку поставок, перемещая производство из Китая в Мексику и страны Юго-Восточной Азии. Этот процесс происходит на фоне растущих торговых противоречий и споров о полупроводниках между США и Китаем.
Криптомошенники создали фальшивый Chrome-плагин для кражи криптокошельков Ethereum через блокчейн Sui
Криптомошенники создали фальшивый Chrome-плагин для кражи криптокошельков Ethereum через блокчейн Sui
Эксперты в области информационной безопасности выявили новый тип вредоносного программного обеспечения, замаскированного под браузерное расширение для работы с криптовалютой. Злоумышленники разработали поддельное приложение, имитирующее функционал криптокошелька.