Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Salt Typhoon: SNAPPYBEE, DLL sideloading и атака через Citrix NetScaler

1
3 мин
Salt Typhoon — сложная киберугроза, связанная с государственно-спонсируемыми акторами из Китая — вновь продемонстрировала способность целиться в критически важную инфраструктуру. Недавнее расследование активности в европейской телекоммуникационной организации выявило серию операций, соответствующих известным тактикам, техникам и процедурам (TTP) этой группы, — с акцентом на целевые атаки против телекоммуникационного и энергетического секторов, а также правительственных систем в США. По доступным данным, вторжение началось в начале июля 2025 года с использования уязвимого устройства Citrix NetScaler Gateway. Этот первоначальный доступ позволил злоумышленникам переместиться на хосты Citrix Virtual Delivery Agent (VDA) в подсети служб создания машин клиента. Впоследствии действия злодеев можно было проследить до конечной точки, потенциально связанной с VPN-сервисом SoftEther, что указывает на раннее применение методов обфускации. Анализ показал следующий набор приемов и вредоносных компон
Оглавление

Salt Typhoon — сложная киберугроза, связанная с государственно-спонсируемыми акторами из Китая — вновь продемонстрировала способность целиться в критически важную инфраструктуру. Недавнее расследование активности в европейской телекоммуникационной организации выявило серию операций, соответствующих известным тактикам, техникам и процедурам (TTP) этой группы, — с акцентом на целевые атаки против телекоммуникационного и энергетического секторов, а также правительственных систем в США.

Краткое описание инцидента

По доступным данным, вторжение началось в начале июля 2025 года с использования уязвимого устройства Citrix NetScaler Gateway. Этот первоначальный доступ позволил злоумышленникам переместиться на хосты Citrix Virtual Delivery Agent (VDA) в подсети служб создания машин клиента. Впоследствии действия злодеев можно было проследить до конечной точки, потенциально связанной с VPN-сервисом SoftEther, что указывает на раннее применение методов обфускации.

Использованные инструменты и техники

Анализ показал следующий набор приемов и вредоносных компонентов:

  • Внедрение бэкдора SNAPPYBEE (Deed RAT) на нескольких узлах Citrix VDA;
  • DLL Sideloading — загрузка вредоносных DLL совместно с легитимными исполняемыми файлами известных антивирусных продуктов, что помогает обходить сигнатурные механизмы обнаружения;
  • Использование легитимного ПО для поддержания скрытности и уклонения от обнаружения;
  • Коммуникация C2 через конечные точки lightNode VPS как по протоколу HTTP, так и по неопознанному протоколу на основе TCP;
  • HTTP-запросы в формате POST с заголовком user-agent, имитирующим Internet Explorer, и уникальными шаблонами URI для взаимодействий C2;
  • Подключение к доменам, один из которых недавно идентифицирован как связанный с Salt Typhoon.

Обнаружение и реакция

Обнаружение активности произошло благодаря сигналам поведенческого мониторинга. Компания Darktrace зафиксировала аномалии на ранней стадии и смогла оперативно нейтрализовать активность до её масштабирования.

Их аналитик по кибер-ИИ автономно связал точки между первоначальным набором инструментов и событиями C2, чтобы представить целостное представление о продвижении атакующего.

Случай демонстрирует эффективность поведенческого анализа и автоматизированной корреляции событий при противодействии целенаправленным и скрытным кампаниям.

Почему это важно

Инцидент подчёркивает несколько ключевых рисков:

  • Salt Typhoon умеет сочетать легитимные инструменты с вредоносными для повышения скрытности;
  • Традиционные методы защиты на основе сигнатур уязвимы против DLL Sideloading и имитации легитимного трафика;
  • Атаки ориентированы на критические отрасли, где последствия компрометации имеют системный характер.

Рекомендации для организаций

Чтобы снизить риск успешных кампаний такого типа, эксперты рекомендуют:

  • Усилить мониторинг поведенческих аномалий и внедрить EDR/XDR-решения, способные выявлять подозрительные цепочки действий;
  • Проверить и актуализировать конфигурации устройств доступа, в том числе Citrix NetScaler Gateway, и патчить уязвимости немедленно;
  • Ограничить и контролировать использование легитимного ПО, применять белые списки и контроль целостности исполняемых файлов;
  • Анализировать сетевые соединения на предмет необычных шаблонов URI, поддельных user-agent и нетипичных C2-коммуникаций через VPS;
  • Внедрить процессы быстрого реагирования и корреляции событий с использованием средств автоматизации и аналитики.

Вывод

Эволюция методологий Salt Typhoon усиливает необходимость проактивной защиты и расширенных возможностей обнаружения. Организациям критической инфраструктуры следует смещать фокус с исключительно сигнатурной защиты на поведенческий анализ и оперативную корреляцию событий, чтобы выявлять едва заметные отклонения в сетевой активности и предотвращать глубокую компрометацию.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Salt Typhoon: SNAPPYBEE, DLL sideloading и атака через Citrix NetScaler".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются