Хятадын хэлээр ярьдаг Advanced Persistent Threat (APT) бүлэглэл Зүүн Өмнөд Азийн төрийн байгууллага болон чухал дэд бүтцийн байгууллагуудын эсрэг явуулсан кибер халдлагад TinyRCT нэртэй өмнө нь бүртгэгдээгүй шинэ арын хаалганы (backdoor) хорт кодыг ашигласан нь тогтоогджээ.
Энэхүү үйл ажиллагааг Palo Alto Networks Unit 42 судалгааны баг CL-STA-1062 нэртэй заналхийлэгч бүлэгтэй холбон үзсэн бөгөөд энэ нь Cisco Talos-ын 2025 оны 8-р сард Тайванийн вэб дэд бүтцийн байгууллагуудын эсрэг илрүүлсэн UAT-7237 бүлэгтэй олон ижил шинж чанартай болохыг тогтоосон байна.
Мөн Unit 42-ийн судалгаагаар CL-STA-1062 нь 2022 оны 3-р сараас эхлэн Зүүн Азийн стратегийн салбаруудыг тогтмол онилсон ажиллагаа явуулж байсан нь бүс нутгийг урт хугацаанд чиглэсэн тагнуулын зорилготой байж болзошгүйг харуулжээ.
Open-source хэрэгсэл болон өөрсдийн хорт кодыг хослуулан ашиглаж байна
Unit 42-ийн мэдээлснээр халдагчид дараах төрлийн хэрэгслүүдийг хамтад нь ашигладаг.
- SoftEther VPN
- Mimikatz
- VNT VPN
- TinyRCT (шинээр илэрсэн захиалгат backdoor)
TinyRCT нь дараах боломжуудтай.
- Систем дээр дурын команд ажиллуулах
- Файл, хавтас хайж жагсаах
- Файл хулгайлан гадагш дамжуулах
- Дэлгэцийн зураг авах
- Алсын удирдлага хийх
- Өөрийн ул мөрийг устган өөрийгөө системээс устгах
Засгийн газрын байгууллагуудын мэдээллийг хулгайлсан ажиллагаа
2025 оны 9-р сард илэрсэн нэгэн халдлагын үеэр CL-STA-1062 нь Зүүн Өмнөд Азийн нэг улсын төрийн байгууллагын сүлжээнд нэвтэрч:
- MS SQL Server дээр Web Shell суулгасан,
- мэдээллийг хулгайлан гадагш дамжуулсан,
- мөн тухайн улсын өөр нэг төрийн байгууллагын дотоод сүлжээнд тандалт хийсэн байна.
Энэ нь халдагчид байгууллагуудын хооронд lateral movement хийх боломж хайж байсныг илтгэжээ.
Нэг тохиолдолд халдагчид тухайн байгууллагын вэб серверийн эх кодын бүх санг бэлтгэн гадагш хуулсан байна.
Unit 42-ийн мэдээлснээр 2025 оны 10-12 дугаар сарын хооронд дор хаяж 10 байгууллага халдлагад өртсөн байна.
Чухал дэд бүтцийг системтэйгээр онилжээ
2025 оны дунд үеэс эхлэн CL-STA-1062 дараах салбаруудыг идэвхтэй онилсон байна.
- Эрчим хүч
- Төрийн өмчит байгууллагууд
- Чухал дэд бүтэц
Халдагчид эхлээд эмзэг байдлыг хайж,
дараа нь ASPX Web Shell ашиглан эхний нэвтрэлтийг хийж,
дараагийн шатанд нэмэлт хорт хэрэгслүүдийг суулгадаг байна.
Тэдгээрийн дотор:
- SoftEther VPN
- VNT VPN
- Yuze SOCKS5 Proxy
- бусад хэрэгслүүдийг агуулсан RAR архивууд
эдгээрийг дараах хууль ёсны програм мэт харагдуулах нэрээр ашиглажээ.
- vmtools.exe
- vmwared.exe
- XDRAgent.exe
TinyRCT хэрхэн ажилладаг вэ?
Unit 42-ийн судалгаагаар TinyRCT нь ".NET" суурьтай Remote Access Trojan (RAT) бөгөөд дараах боломжуудтай.
- Системийн мэдээлэл цуглуулах
- Команд ажиллуулах
- Файл илгээх
- Screenshot авах
- Алсын удирдлага хийх
- Өөрийн мөрийг арилгах
- Sandbox орчинд ажиллахаас зайлсхийх
TinyRCT нь:
- HTTP протоколоор Command-and-Control (C2) сервертэй холбогддог
- Харилцааны өгөгдлийг AES-128 CBC алгоритмаар шифрлэдэг
- Анхдагч байдлаар 10 секунд тутам C2 серверээс шинэ заавар авдаг
- GET хүсэлтээр команд авч,
- POST хүсэлтээр хулгайлсан мэдээллээ илгээдэг.
TinyRCT хэрхэн суулгагддаг вэ?
Хорт код нь дараах бүтэцтэй архив хэлбэрээр тархдаг.
chrome_setup.zip
Дотор нь:
- chrome_setup.exe (жинхэнэ програм)
- chrome_setup.exe.config
- MyAppDomainManager.dll (хорт DLL)
байдаг.
Энэ DLL нь AppDomainManager Injection аргыг ашиглан ажиллаж,
дараа нь өөр серверээс
PerfWatson2.exe буюу TinyRCT-г татан суулгадаг.
Судлаачдын дүгнэлт
Unit 42-ийн судлаачдын үзэж байгаагаар CL-STA-1062 нь:
- Open-source хэрэгслүүдийг өргөн ашиглахын зэрэгцээ,
- өөрсдийн зориулалтын хорт кодыг хөгжүүлж,
- чухал дэд бүтцэд чиглэсэн урт хугацааны ажиллагаа явуулж байна.
Шинээр илэрсэн TinyRCT нь тус бүлэг өөрсдийн ажиллагаанд зориулан тусгайлан боловсруулсан өндөр боломжтой backdoor болохыг харуулж байгаа бөгөөд цаашид Зүүн Өмнөд Азийн бүс нутгийн байгууллагуудад ноцтой кибер заналхийлэл хэвээр байх төлөвтэй байна.
Гол үзүүлэлтүүд (IoCs)
- Backdoor: TinyRCT (PerfWatson2.exe)
- Холбогдох бүлэг: CL-STA-1062 (UAT-7237-тэй төстэй)
- Онилсон салбар: Төрийн байгууллага, эрчим хүч, төрийн өмчит компани, чухал дэд бүтэц
- Ашигласан хэрэгслүүд: SoftEther VPN, Mimikatz, VNT, Yuze, ASPX Web Shell
- Шифрлэл: AES-128 CBC
- C2 харилцаа: HTTP Beacon (10 секунд тутам)
- Анхны халдлагын арга: AppDomainManager DLL Injection, Web Shell, эмзэг байдлыг ашиглах
