Изображение: recraft
Группировка Jewelbug, якобы связанная с киберразведкой КНР, в течение пяти месяцев незаметно присутствовала в ИТ-инфраструктуре одного из российских поставщиков цифровых услуг. Как следует из анализа, проведённого специалистами Symantec (входит в Broadcom), атака продолжалась с января по май 2025 года. Эксперты отмечают, что тут стоит говорить о расширении географии деятельности группировки, ранее сосредоточенной в Юго-Восточной Азии и Латинской Америке.
По отчёту Symantec Threat Hunter, опубликованному в издании The Hacker News, злоумышленники получили доступ к исходным кодам и системам сборки ПО. По мнению специалистов, это могло создать предпосылки для дальнейших атак на клиентов компании, в том числе с использованием техники компрометации цепочки поставок.
Аналитики подчеркнули, что часть полученной информации злоумышленники направляли в облачное хранилище «Яндекс.Диска», что стало неожиданной деталью технического сценария.
Группировка Jewelbug, по данным Symantec, пересекается с другими кибершпионскими структурами, отслеживаемыми под названиями CL-STA-0049 (Palo Alto Networks Unit 42), Earth Alux (Trend Micro) и REF7707 (Elastic Security Labs).
Ранее их активность наблюдалась преимущественно в сферах телекоммуникаций, логистики, госсектора и розницы. При этом основными регионами атак оставались страны Азиатско-Тихоокеанского региона и Латинской Америки.
По оценкам аналитиков, Earth Alux действует как минимум с весны 2023 года и использует вредоносное ПО VARGEIT и COBEACON (вариант Cobalt Strike Beacon). В свою очередь, кластеры CL-STA-0049 и REF7707 ранее связывались с распространением продвинутого бэкдора FINALDRAFT, известного также как Squidoor. Этот инструмент способен заражать не только Windows-системы, но и Linux-среду. Эксперты Symantec подчёркивают, что текущий инцидент — первый, где зафиксировано пересечение всех упомянутых кластеров в одной операции.
В рамках вторжения в российскую инфраструктуру злоумышленники использовали подменённый файл Microsoft Console Debugger (cdb.exe). Этот исполняемый файл применялся для запуска вредоносного кода, обхода политики доверенных приложений и исполнения сторонних библиотек. Такая техника позволяет незаметно внедряться в среду, не вызывая срабатывания защитных решений.
Также были замечены действия по сбросу учетных данных и обеспечению долговременного доступа. Хакеры внедряли задания в планировщик задач Windows и удаляли журналы событий, чтобы скрыть следы своего присутствия. Такой подход говорит о высоком уровне подготовки атакующих и ориентированности на долгосрочную шпионскую операцию.
Оригинал публикации на сайте CISOCLUB: "Китайская хакерская группа Jewelbug тайно атаковала российскую ИТ-компанию, нацелившись на цепочку поставок и облачные хранилища".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.