В июне 2025 года исследователи обнаружили новое семейство программ-вымогателей под названием 01flip, специально ориентированное на организации в Азиатско-Тихоокеанском регионе, в особенности — на операторы критически важной инфраструктуры в Юго‑Восточной Азии. Новая угроза примечательна рядом технических решений и тактических приёмов, которые отличают ее от привычных образцов в ландшафте ransomware.
Как была обнаружена атака
Первичное расследование началось после анализа подозрительного исполняемого файла Windows, отправленного в контролируемую среду. По результатам анализа, специалисты из подразделения 42 установили характерное для программы‑вымогателя поведение. Дальнейшее ретроспективное исследование показало, что злоумышленники эксплуатировали устаревшую уязвимость CVE-2019-11580 в интернет‑ориентированных приложениях уже в апреле 2025 года.
После успешной эксплуатации атакующие развернули Linux‑версию Sliver — общедоступной платформы для моделирования противника, написанной на Go. К концу мая перемещение внутри сети жертвы было выполнено на другую Linux‑машину с использованием профилированного имплантата TCP Pivot из набора инструментов Sliver. Затем на нескольких устройствах в сети жертв были развернуты экземпляры программы‑вымогателя 01flip.
Технические характеристики 01flip
- Программа полностью разработана на языке Rust, что обеспечивает простоту кросс‑компиляции и поддержку нескольких платформ.
- Доступны версии как для Windows, так и для Linux.
- Код не сильно запутан, что облегчает обнаружение его происхождения и анализ исходного кода на Rust.
- Перед шифрованием 01flip размещает файлы с требованиями выкупа в доступных для записи каталогах, включая контактную информацию и инструкции для восстановления.
- Используются низкоуровневые API и системные вызовы (syscalls) для минимизации видимости среди стандартных процессов ОС и снижения вероятности обнаружения средствами безопасности.
- После завершения шифрования каждая версия выполняет команды по удалению следов присутствия на заражённых системах (как для Windows, так и для Linux).
- В ходе анализа отмечено исключение файлов с расширением «LockBit» из процесса шифрования, что может указывать на потенциальные совпадения или связи с операциями LockBit.
Тактика, техника и процедура (TTP): последовательность атаки
- Эксплуатация известной уязвимости CVE-2019-11580 в интернет‑ориентированных приложениях (апрель 2025).
- Развертывание Linux‑версии Sliver и установка имплантата для организации TCP Pivot (май 2025).
- Перемещение по сети и развёртывание экземпляров 01flip на целевых устройствах.
- Размещение ransom‑нот и последующее шифрование файлов с использованием методов, скрывающих активность через syscalls.
- Удаление следов и команд для очистки после завершения шифрования.
Связи с другими операциями и профиль злоумышленников
По состоянию на конец октября 2025 года группировка, идентифицированная как CL-CRI-1036, по-видимому не применяет схему двойного вымогательства, типичную для операций в модели RaaS (ransomware as a service). Однако наблюдаемое исключение из шифрования файлов с расширением «LockBit» вызывает вопросы о возможных совпадениях техники или намеренных связях с операциями LockBit.
«Исключение файлов с расширением ‘LockBit’ может указывать на общие библиотеки, правила исключения или даже намеренную координацию между операторами», — отмечают специалисты подразделения 42.
Почему 01flip опасен
- Мульти‑платформенность: поддержка Windows и Linux повышает охват потенциальных жертв.
- Использование Rust: упрощённая кросс‑компиляция и современный стэк разработки ускоряют подготовку и модификацию образцов.
- Применение низкоуровневых системных вызовов усложняет обнаружение традиционными средствами EDR и AV.
- Целевой характер атак на критическую инфраструктуру в регионе повышает потенциальный воздействие на общественно значимые сервисы.
Рекомендации для защиты организаций
Организациям, особенно операторам критически важной инфраструктуры в регионе, рекомендуется принять следующие меры:
- Немедленно проверить и закрыть уязвимости, связанные с CVE-2019-11580, и регулярно проводить аудит веб‑приложений и внешних сервисов.
- Мониторить признаки активности Sliver и имплантатов TCP Pivot, а также подозрительные соединения между Linux‑узлами.
- Обеспечить сегментацию сети и минимальные привилегии для сервисных аккаунтов, чтобы ограничить латерал‑мувмент.
- Резервное копирование данных с регулярной проверкой целостности и возможностью восстановления вне сетевого доступа основной инфраструктуры.
- Адаптировать правила обнаружения и корреляции для выявления нестандартных системных вызовов и поведения, характерного для бинарников на Rust.
- План реагирования на инциденты: подготовить процедуры уведомления и восстановления, учитывать возможность удаления следов и уничтожения артефактов злоумышленником.
Вывод
01flip — пример современной гибридной угрозы: сочетание новых языков разработки (Rust), мульти‑платформенности и использования общедоступных инструментов (например, Sliver) делает её серьёзным вызовом для команд по кибербезопасности. Внимательная работа с уязвимостями уровня CVE-2019-11580, мониторинг инструментов атакующих и усиление базовых мер защиты остаются ключевыми шагами в снижении рисков.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "01flip — кроссплатформенный вымогатель на Rust для инфраструктуры APAC".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.