В ноябре 2024 года команда Solar 4RAYS выявила использование модифицированного прокси-сервиса Stowaway в рамках вредоносной кампании, которая была нацелена на российскую ИТ-организацию, обслуживающую государственный сектор. Данный инцидент подчеркивает эволюцию инструментов кибершпионажа и представляет собой серьезную угрозу для безопасности важных государственных данных.
Обзор Stowaway и его адаптация
Изначально созданный как китайский инструмент для тестирования на проникновение, Stowaway был адаптирован группой Erudite Mogwai (также известной как Космические пираты) для расширения своих возможностей. С момента своего возникновения в 2019 году, эта группа приобрела опыт в изощренных кибершпионских действиях, нацеленных на чувствительные сектора, включая:
- государственные учреждения
- высокотехнологичные отрасли промышленности
- сектора в России, Грузии и Монголии
Расширенные функции и методы скрытия
Пользовательская версия Stowaway продемонстрировала следующие расширенные возможности:
- Алгоритм сжатия LZ4
- Метод шифрования XXTEA
- Поддержка протокола QUIC
Эти улучшения позволили группе использовать Stowaway в качестве эффективного средства контроля трафика, что свидетельствует о стратегическом подходе к запутыванию и универсальности в сетевых операциях. Кроме того, злоумышленники разработали несколько вариантов Stowaway, существенно изменив первоначальную структуру для обхода систем безопасности.
Кибератака: схема и инструменты
В ходе операций, отслеживаемых Solar 4RAYS, злоумышленники скомпрометировали незащищенный веб-сервис, превратив его в плацдарм для развертывания своей инфраструктуры в период с марта 2023 по ноябрь 2024 года. Анализ активности показал, что Stowaway использовался в тандеме с Shadowpad Light, многофункциональным бэкдором, что указывает на высокий уровень операционной синергии этих инструментов. Злоумышленники смогли сохранять анонимность, используя:
- пользовательские методы управления
- отказ от инфраструктуры открытого командования и контроля (C2)
Использование сторонних инструментов
Группировка также прибегала к различным другим инструментам, включая агент Luckystrike, для достижения своих целей. На протяжении своей кампании они применяли многочисленные утилиты с открытым исходным кодом, разработанные китайскими программистами, что может указывать на принадлежность или имитацию методов восточноазиатских хакеров.
Заключение
Модификации и переименования функций в коде Stowaway свидетельствуют о постоянной попытке избежать обнаружения и анализа. Такой расчетливый подход к использованию Stowaway, сосредотачиваясь исключительно на функциональности сетевого проксирования, подчеркивает опасность данных атак и необходимость усиления киберзащиты в уязвимых секторах.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Эволюция угроз: злоумышленники модифицируют Stowaway для кибершпионажа".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.