Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Анализ атаки APT Seqrite Labs на китайскую телекоммуникацию

6
3 мин
Исследователи Seqrite Labs выявили и тщательно проанализировали масштабную кибершпионскую кампанию, направленную на ключевой сегмент китайской телекоммуникационной отрасли — компанию China Mobile Tietong Co., Ltd.. В центре внимания оказалась сложная экосистема вредоносного ПО, включающая эксплойты VELETRIX и VShell — инструменты, широко используемые продвинутыми хакерскими группировками, ассоциированными с территорией Китая. Атака начинается с вредоносного ZIP-файла, обнаруженного исследователями 13 мая. Этот архив содержит обширный набор двоичных файлов и динамически подключаемых библиотек (DLL). Алгоритм заражения включает следующие ключевые компоненты: Примечательно, что этот ZIP-файл был найден и на VirusTotal, что свидетельствует об уже широкой огласке и актуальной угрозе. Далее был проведен глубокий анализ двух ключевых имплантатов, задействованных в кампании. VELETRIX представляет собой 64-разрядный вредоносный двоичный код, который применяет сложные методы обхода защиты: Анали
Оглавление

APT-команда Seqrite Labs раскрыла операцию нацеленной атаки против China Mobile Tietong

Исследователи Seqrite Labs выявили и тщательно проанализировали масштабную кибершпионскую кампанию, направленную на ключевой сегмент китайской телекоммуникационной отрасли — компанию China Mobile Tietong Co., Ltd.. В центре внимания оказалась сложная экосистема вредоносного ПО, включающая эксплойты VELETRIX и VShell — инструменты, широко используемые продвинутыми хакерскими группировками, ассоциированными с территорией Китая.

Цепочка атаки и методы заражения

Атака начинается с вредоносного ZIP-файла, обнаруженного исследователями 13 мая. Этот архив содержит обширный набор двоичных файлов и динамически подключаемых библиотек (DLL). Алгоритм заражения включает следующие ключевые компоненты:

  • В ZIP-архиве был выявлен исполняемый файл с названием “2025 China Mobile Tietong Co., Ltd. Внутренняя программа обучения”, который действует как приманка для пользователей;
  • Этот исполняемый файл загружает вредоносные библиотеки DLL, в том числе drstat.dll, связанную с популярным ПО WonderShare RepairIT;
  • Атака использует стороннюю загрузку DLL (DLL sideloading), причем DLL подписаны легитимными цифровыми сертификатами от WonderShare и Shenzhen Thunder Networking Technologies Ltd., что усложняет детекцию.

Примечательно, что этот ZIP-файл был найден и на VirusTotal, что свидетельствует об уже широкой огласке и актуальной угрозе.

Технический анализ вредоносных имплантатов VELETRIX и VShell

Далее был проведен глубокий анализ двух ключевых имплантатов, задействованных в кампании.

VELETRIX — 64-битный сложный эксплойт

VELETRIX представляет собой 64-разрядный вредоносный двоичный код, который применяет сложные методы обхода защиты:

  • Используется техника IPFuscation — код вредоносной нагрузки преобразуется в список IPv4-адресов, что позволяет скрыть шелл-код;
  • Для декодирования применяется функция Windows API RtlIpV4StringToAddressA, выполняющая полезную нагрузку через обратный вызов (callback);
  • Данные механизмы создают видимость легитимной деятельности в системе, что помогает избежать обнаружения.

VShell — кроссплатформенный имплантат с открытым исходным кодом

Анализ вредоносного компонента VShell, работающего в виде имплантата tcp_windows_amd64.dll под Windows, выявил:

  • Использование одного и того же ключа salt — qwe123qwe — в 44 идентифицированных вредоносных имплантатах, что указывает на связь с группами Earth Lamia и UNC5174;
  • VShell широко известен и эксплуатируется несколькими китайскими хакерскими коллективами для проведения атак на разные цели;
  • Эксперты подчеркнули, что подобные совпадения в инфраструктуре свидетельствуют о возможном сотрудничестве либо общих операционных методах между этими группами.

Инфраструктура и инструменты злоумышленников

В ходе расследования была обнаружена сеть серверов управления (C2), на которых размещены известные инструменты для проведения атак:

  • Cobalt Strike — платформа для проведения постэксплуатационных операций;
  • SuperShell — инструмент для расширенного контроля над заражёнными машинами;
  • Серверы использовали разные порты и конфигурации, соответствующие поведению, наблюдаемому в предыдущих кампаниях APT;
  • Это подтверждает связь текущей операции с китайскими группами, спонсируемыми государством.

Заключение

Обнаруженная кампания иллюстрирует высокий уровень сложности и взаимосвязи в деятельности китайских продвинутых хакерских групп. Использование легитимных цифровых сертификатов, инновационных методов скрытия полезной нагрузки, а также развертывание аппаратно- и программно-комплексной инфраструктуры подтверждают серьезность угрозы для телекоммуникационной отрасли Китая и потенциально для глобальной кибербезопасности.

Дальнейшие исследования и мониторинг ситуации являются необходимыми для своевременного выявления и нейтрализации подобных угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Анализ атаки APT Seqrite Labs на китайскую телекоммуникацию".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Гаджеты и электроника
5,73 млн интересуются