В атаке на российскую компанию зафиксированы TTPs китайских APT-групп
По данным исследования Центра кибербезопасности F6 в конце февраля 2026 года аналитики обнаружили и локализовали атаку на одну из российских производственных компаний. Как сообщили SecPost в компании, в качестве вектора первоначального доступа злоумышленники использовали скомпрометированную сервисную учетную запись подрядной организации, применяемую для входа во внутреннюю сеть через Check Point VPN.
После получения сетевого доступа атакующие подключились по RDP к внутренним системам и приступили к разведке, используя штатные утилиты Windows. Как указывается в исследовании, EDR-модуль F6 MXDR зафиксировал команды для перечисления привилегированных групп и учетных записей, получения сведений о доверительных отношениях домена, просмотра активных сессий и проверки сетевого окружения.
Для доставки и исполнения вредоносного ПО злоумышленники создали временную службу, указав в binPath легитимный файл, уязвимый к DLL Sideloading. После запуска службы доверенный процесс загружал вредоносную библиотеку. Первый загрузчик gsdll64.dll загружал зашифрованную полезную нагрузку в виде шелл-кода из раздела реестра или файла. Ключ реестра генерировался алгоритмом на основе даты компиляции из PE-заголовка загрузчика, что ранее описывалось для бэкдора ShadowPad.
Как отмечается в исследовании, для горизонтального перемещения применялось удаленное создание служб с помощью утилиты sc.exe. Второй экземпляр загрузчика cbLOC.dll / OneSettingeLOC.dll внедрял полезную нагрузку в процессы wmpnetwk.exe и spoolsv.exe. Для закрепления на устройствах использовались запланированные задачи, службы и модификация ветки реестра RUN.
Коммуникация с командными центрами осуществлялась через DNS-туннелирование с использованием публичных DNS 8.8.8.8, 8.8.4.4, 4.4.4.4 и 4.2.2.2.
Анализ TTPs и образцов ВПО, как сообщается, указывает на использование бэкдора ShadowPad, активно применяемого китайскими APT-группами. На IP-адресе 192.144.23[.]37 обнаружены домены app.axb1[.]com, sleve.freecountrys[.]com и free.threat7858[.]info. SSL-сертификат с последнего ранее фигурировал в атаках китайских APT-групп с 2024 по 2025 год, где также отмечалось развертывание программ-вымогателей.
С февраля по март 2026 года аналогичные образцы загрузчиков загружались в публичные песочницы из Бразилии, Хорватии, Румынии и Греции. В исследовании подчеркивается, что на основании имеющихся данных невозможно однозначно отнести кампанию к конкретной APT-группе, однако бэкдор ShadowPad используется несколькими китайскими операторами — наблюдается пересечение с группами APT41, Teleboyi, Earth Alux и APT15.
Читайте также
