Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

APT41: Китайская кибершпионская угроза с инновационными методами обхода

3 мин
APT41, также известная как MISSION2025, представляет собой спонсируемую китайским государством группу APT, действующую с 2012 года. За более чем десятилетний период эта группа утвердилась как одна из самых опасных и сложных в сфере кибершпионажа и экономических атак на глобальном уровне. Их стратегия тесно связана с национальной инициативой «Сделано в Китае к 2025 году», в рамках которой особое внимание уделяется краже интеллектуальной собственности и корпоративному шпионажу. Группа APT41 отличается изощренным и инновационным подходом к ведению атак. В последние годы их тактика начала включать использование вредоносного ПО TOUGHPROGRESS, обладающего уникальным механизмом управления и контроля (C2). Особенностью этого ПО является применение Google Calendar для обмена командами между оператором и заражённой системой. Суть метода заключается в следующем: APT41 также активно эксплуатирует недавно выявленные уязвимости в Ivanti Endpoint Manager Mobile (EPMM), обозначенные как CVE-2025-4427
Оглавление
Источник: www.cyfirma.com
Источник: www.cyfirma.com

APT41 (MISSION2025): эволюция сложных кибератак в интересах китайского государства

APT41, также известная как MISSION2025, представляет собой спонсируемую китайским государством группу APT, действующую с 2012 года. За более чем десятилетний период эта группа утвердилась как одна из самых опасных и сложных в сфере кибершпионажа и экономических атак на глобальном уровне. Их стратегия тесно связана с национальной инициативой «Сделано в Китае к 2025 году», в рамках которой особое внимание уделяется краже интеллектуальной собственности и корпоративному шпионажу.

Методы и тактики APT41

Группа APT41 отличается изощренным и инновационным подходом к ведению атак. В последние годы их тактика начала включать использование вредоносного ПО TOUGHPROGRESS, обладающего уникальным механизмом управления и контроля (C2). Особенностью этого ПО является применение Google Calendar для обмена командами между оператором и заражённой системой.

Суть метода заключается в следующем:

  • Распространение через фишинговые электронные письма с ссылками на ZIP-файлы на взломанных правительственных сайтах;
  • Запуск замаскированных файлов, которые внедряют зашифрованные командные данные в описания событий Google Calendar;
  • Использование законного трафика облачных сервисов для сокрытия коммуникаций C2 и обхода систем обнаружения.

Эксплуатация уязвимостей и инструменты атаки

APT41 также активно эксплуатирует недавно выявленные уязвимости в Ivanti Endpoint Manager Mobile (EPMM), обозначенные как CVE-2025-4427 и CVE-2025-4428. Используя эти дыры в безопасности, группа развёртывает обратные оболочки и дополнительные вредоносные модули, включая KrustyLoader, который интегрируется с фреймворком C2 Sliver.

Такая последовательная эксплуатация публично известных уязвимостей подчёркивает ключевую стратегию APT41 — быстро и эффективно получать первоначальный доступ к корпоративным и государственным сетям.

Длительное удержание доступа и приоритетные цели

Группа известна стремлением сохранять постоянный доступ к целевым сетям на протяжении длительного времени. В одном из примеров, заражённый правительственный департамент Юго-Восточной Азии находился под контролем хакеров почти два года. Основной целью таких операций является сбор конкретных разведданных, связанных с геополитикой, например, вопросами по Южно-Китайскому морю.

Последние атаки демонстрируют усиление фокуса на критически важных объектах инфраструктуры и государственных учреждениях, особенно в США и странах Европы.

Технологическая изощрённость и методы обхода

Методология APT41 выделяется применением передовых техник обхода средств защиты. В числе особенностей — выполнение вредоносного кода непосредственно в оперативной памяти (fileless execution), модульная структура вредоносных программ, а также сложные приёмы социальной инженерии.

Кроме того, использование механизмов Windows, таких как CLFS (Common Log File System) и манипуляции с транзакциями NTFS, говорит о целенаправленном обходе традиционных систем безопасности.

  • Модульные семейства вредоносных программ, включая PLUSDROP и PLUSINJECT, обеспечивают гибкость и масштабируемость атак;
  • Постоянное развитие инструментов позволяет группе адаптироваться к изменяющимся условиям безопасности и корпоративных инфраструктур;
  • Социальная инженерия играет ключевую роль в успешном внедрении вредоносных компонентов и расширении распространения.

Заключение

Деятельность APT41 демонстрирует, насколько современные киберугрозы могут быть тесно связаны с государственными экономическими и геополитическими интересами. Использование инновационных техник, таких как внедрение в Google Calendar и эксплойтинг актуальных уязвимостей, делает группу одной из самых сложных для обнаружения и нейтрализации.

Эксперты в области кибербезопасности должны уделять особое внимание анализу новых методов APT-групп, поскольку только благодаря постоянному обновлению знаний и средств защиты возможно противостоять подобным угрозам и снижать риски для государственных и корпоративных сетей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "APT41: Китайская кибершпионская угроза с инновационными методами обхода".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.