Хятадын холбоотой дэвшилтэт тогтвортой кибер халдлага үйлддэг (APT) APT31 бүлэглэл 2024–2025 оны хооронд ОХУ-ын мэдээллийн технологи (IT) салбарыг чиглэсэн халдлагуудыг удаан хугацаанд илрэлгүйгээр хэрэгжүүлсэн болохыг тогтоожээ.
Positive Technologies-ийн судлаач Даниил Григорян, Варвара Колоскова нарын техникийн тайланд дурдсанаар:
“2024–2025 онд Оросын IT салбар, ялангуяа төрийн байгууллагуудад зориулсан мэдээллийн технологийн шийдэл, интеграцийн үйлчилгээ үзүүлдэг компаниуд олон удаагийн чиглэсэн халдлагад өртсөн.”
APT31 гэж хэн бэ?
APT31 (өөр нэршлүүд: Altaire, Bronze Vinewood, Judgement Panda, PerplexedGoblin, RedBravo, Red Keres, Violet Typhoon /хуучнаар Zirconium/) нь 2010 оноос идэвхтэй ажиллагаатай гэж үнэлэгддэг.
Тус бүлэглэл нь дараах олон салбарт кибер тагнуулын ажиллагаа явуулдаг:
-
төрийн байгууллагууд
-
санхүүгийн сектор
-
сансар, батлан хамгаалах
-
өндөр технологи
-
барилга, инженерчлэл
-
харилцаа холбоо
-
хэвлэл мэдээлэл
-
даатгал
APT31-ийн гол зорилго нь Бээжин болон төрийн өмчит компаниудад улс төр, эдийн засаг, цэргийн давуу байдал олгохуйц тагнуулын мэдээлэл цуглуулах явдал.
2025 оны 5 сард Чехийн Засгийн газар тус бүлэглэлийг 2022 онд ГХЯ-нд нь халдсан хэрэгт буруутгасан.
ОХУ-ын эсрэг халдлагын онцлог
ОХУ-ын эсрэг халдлагад дараах тактик түгээмэл ашиглагджээ:
☁️ Легитим клауд үйлчилгээ ашиглан C2 байгуулах
Халдагчид команд-контрол (C2) болон өгөгдөл дамжуулахдаа Yandex Cloud зэрэг тухайн улсад өргөн хэрэглэгддэг үйлчилгээ ашигласан. Ингэснээр тэд энгийн сүлжээний урсгалд “нуувчлан” илрэхээс зайлсхийжээ.
Шифрлэгдсэн команд, пэйлоуды нийгмийн сүлжээнд байршуулдаг
APT31 нь:
-
дотоод болон гадаад сошиал платформуудаар дамжуулан шифрлэгдсэн команд, өгөгдөл хадгалсан,
-
халдлагыг ихэвчлэн амралтын өдөр, баярын үеэр явуулдаг байсан.
Зарим халдлагад APT31 нь 2022 оны сүүлч гэхэд нэг IT компанийн сүлжээнд нэвтэрч, 2023 оны шинэ жилийн баярын үеэр үйл ажиллагаагаа идэвхжүүлжээ.
Spear-phishing ба CloudyLoader ашиглалт
2024 оны 12 сард илэрсэн нэг халдлагад:
-
RAR файлын хавсралт бүхий spear-phishing имэйл илгээсэн
-
доторх LNK файл нь DLL side-loading аргаар ажилладаг Cobalt Strike loader — CloudyLoader-ийг ажиллуулсан
Kaspersky энэ үйл явдлыг 2025 оны 7 сард баримтжуулж, “EastWind” кластерийн зарим давхцлыг тайлагнасан.
Мөн Перугийн Гадаад Харилцааны Яамны тайлан мэтээр далдлан хийсэн ZIP файлыг ашиглан CloudyLoader тараасан байна.
APT31-ийн ашигласан хэрэгслүүд
Халдлагын дараагийн үе шатыг гүйцэтгэхдээ тэд олон нийтэд нээлттэй болон өөрсдийн тусгай хэрэгслүүдийг ашигласан.
Persistence (тогтвортой байдал)-ийг Yandex Disk, Google Chrome гэх мэт легитим аппликейшны дүр үзүүлэх Scheduled Task үүсгэж хангадаг.
Доорх нь илэрсэн гол хэрэгслүүд:
-
SharpADUserIP – Сүлжээний тандан судалгаа
-
SharpChrome.exe – Chrome/Edge нууц үг, cookie олборлох
-
SharpDir – Файл хайлт
-
StickyNotesExtract.exe – Windows Sticky Notes өгөгдөл авах
-
Tailscale VPN – P2P холбоос үүсгэх
-
Microsoft dev tunnels – Сүлжээ туннел үүсгэх
-
Owawa – IIS модуль, credential хулгайлах
-
AufTime – Linux backdoor, wolfSSL ашиглан C2-тэй холбогдох
-
COFFProxy – Golang backdoor, команд гүйцэтгэх, файлын удирдлага, туннел
-
VtChatter – VirusTotal дээр Base64 коммент ашигласан C2
-
OneDriveDoor – OneDrive-ийг C2 болгон ашигладаг backdoor
-
LocalPlugX – PlugX-ийн локал тархалтанд зориулагдсан хувилбар
-
CloudSorcerer – Cloud-аар C2 хийдэг backdoor
-
YaLeak – .NET хэрэгсэл, мэдээллийг Yandex Cloud руу дамжуулах
Дүгнэлт
Positive Technologies-ийн мэдээлснээр:
-
APT31 нь хуучин хэрэгслүүдээ хадгалсаар байгаа ч arsenal-аа байнга шинэчилж хөгжүүлдэг
-
C2-ийн хувьд Yandex, Microsoft OneDrive зэрэг клауд үйлчилгээ хүчтэй ашигладаг
-
Олон хэрэгслүүд нь халдагчид халдварлагдсан хост руу дараа нь холбогдохоор server mode-оор ажиллахаар тохируулагдсан
Эдгээр техникүүдийн ачаар бүлэглэл:
-
хохирогчийн сүлжээнд хэдэн жилээр илрэхгүй оршин тогтнож,
-
мейлбокс болон дотоод системүүдийн нууц үг,
-
нууцлалтай файлууд, өгөгдлүүдийг татан авч иржээ.
