- 21,441
- 46
- 8 Ноя 2022
США, Азия, теперь Европа...
Группа Salt Typhoon , связанная с правительством Китая, вновь оказалась в центре внимания после обнаружения кибератаки на европейскую телекоммуникационную компанию. Об этом сообщили аналитики Darktrace, отметив, что действия хакеров совпадают с типичными приёмами, которые ранее использовались этой группировкой против американских и азиатских операторов связи. Salt Typhoon известна как одна из старейших кибершпионских структур, работающих с 2019 года. Её участники специализируются на эксплуатации уязвимых сетевых устройств, создании скрытых каналов управления и извлечении конфиденциальных данных из инфраструктур более чем 80 стран.
По информации Darktrace, вторжение в европейскую компанию произошло в первую неделю июля 2025 года. Для первоначального проникновения злоумышленники использовали неисправность в шлюзе Citrix NetScaler Gateway . Исследователи не уточняют конкретный идентификатор, но по времени атаки она совпала с серией исправлений, выпущенных Citrix в июне и августе. Среди них — критические уязвимости CVE-2025-5349 , CVE-2025-5777 , получившая неофициальное название CitrixBleed 2, а также CVE-2025-6543 , CVE-2025-7775 , CVE-2025-7776 и CVE-2025-8424 . Эти сбои позволяли получить удалённый доступ без аутентификации и загружать веб-шеллы на незащищённые устройства.
После успешного взлома шлюза злоумышленники переместились в подсеть Machine Creation Services, где расположены хосты Citrix Virtual Delivery Agent. Первая активность шла с узла, предположительно использующего сервис SoftEther <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>, что свидетельствует о намеренной маскировке инфраструктуры. На скомпрометированные серверы был установлен модульный троян SNAPPYBEE (известный также как Deed RAT), обеспечивающий дистанционное управление. В Darktrace подчёркивают, что атака была обнаружена и нейтрализована до того, как злоумышленники смогли закрепиться в сети компании.
Для доставки трояна участники группы применили DLL Sideloading — распространённый приём скрытного запуска вредоносного кода. Он основан на том, что легитимное приложение ошибочно загружает подложенную библиотеку DLL и выполняет внедрённый в неё код. В данном случае вредоносный модуль маскировался под компоненты антивирусных программ Norton Antivirus, Bkav Antivirus и IObit Malware Fighter. Такой метод позволял выполнять команды в доверенном контексте и обходить механизмы защиты.
Установленный канал управления (C2) использовал инфраструктуру LightNode VPS и работал как по HTTP, так и через нестандартный TCP-протокол. Исследователи зафиксировали обращение заражённых систем к домену aar.gandhibludtric[.]com (38.54.63[.]75), который ранее связывали с Salt Typhoon специалисты компании Silent Push. По совокупности признаков — от совпадений в тактиках и инструментах до идентичного стиля развёртывания инфраструктуры — Darktrace с умеренной уверенностью приписывает инцидент группировке Salt Typhoon, также известной под названиями Earth Estries, GhostEmperor и UNC2286. По данным компании, атака была остановлена на ранней стадии и не привела к утечке данных.
Salt Typhoon впервые стала широко известна в 2024 году, когда ФБР сообщило о масштабных атаках этой группы на телекоммуникационные компании США. Тогда злоумышленники получили метаданные звонков и другую информацию, охватывающую почти всех американских пользователей мобильных сетей. Новая активность в Европе подтверждает, что группировка остаётся одной из самых настойчивых и технологически оснащённых китайских кибершпионских структур, ориентированных на долгосрочный контроль над сетями связи.
Группа Salt Typhoon , связанная с правительством Китая, вновь оказалась в центре внимания после обнаружения кибератаки на европейскую телекоммуникационную компанию. Об этом сообщили аналитики Darktrace, отметив, что действия хакеров совпадают с типичными приёмами, которые ранее использовались этой группировкой против американских и азиатских операторов связи. Salt Typhoon известна как одна из старейших кибершпионских структур, работающих с 2019 года. Её участники специализируются на эксплуатации уязвимых сетевых устройств, создании скрытых каналов управления и извлечении конфиденциальных данных из инфраструктур более чем 80 стран.
По информации Darktrace, вторжение в европейскую компанию произошло в первую неделю июля 2025 года. Для первоначального проникновения злоумышленники использовали неисправность в шлюзе Citrix NetScaler Gateway . Исследователи не уточняют конкретный идентификатор, но по времени атаки она совпала с серией исправлений, выпущенных Citrix в июне и августе. Среди них — критические уязвимости CVE-2025-5349 , CVE-2025-5777 , получившая неофициальное название CitrixBleed 2, а также CVE-2025-6543 , CVE-2025-7775 , CVE-2025-7776 и CVE-2025-8424 . Эти сбои позволяли получить удалённый доступ без аутентификации и загружать веб-шеллы на незащищённые устройства.
После успешного взлома шлюза злоумышленники переместились в подсеть Machine Creation Services, где расположены хосты Citrix Virtual Delivery Agent. Первая активность шла с узла, предположительно использующего сервис SoftEther <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>, что свидетельствует о намеренной маскировке инфраструктуры. На скомпрометированные серверы был установлен модульный троян SNAPPYBEE (известный также как Deed RAT), обеспечивающий дистанционное управление. В Darktrace подчёркивают, что атака была обнаружена и нейтрализована до того, как злоумышленники смогли закрепиться в сети компании.
Для доставки трояна участники группы применили DLL Sideloading — распространённый приём скрытного запуска вредоносного кода. Он основан на том, что легитимное приложение ошибочно загружает подложенную библиотеку DLL и выполняет внедрённый в неё код. В данном случае вредоносный модуль маскировался под компоненты антивирусных программ Norton Antivirus, Bkav Antivirus и IObit Malware Fighter. Такой метод позволял выполнять команды в доверенном контексте и обходить механизмы защиты.
Установленный канал управления (C2) использовал инфраструктуру LightNode VPS и работал как по HTTP, так и через нестандартный TCP-протокол. Исследователи зафиксировали обращение заражённых систем к домену aar.gandhibludtric[.]com (38.54.63[.]75), который ранее связывали с Salt Typhoon специалисты компании Silent Push. По совокупности признаков — от совпадений в тактиках и инструментах до идентичного стиля развёртывания инфраструктуры — Darktrace с умеренной уверенностью приписывает инцидент группировке Salt Typhoon, также известной под названиями Earth Estries, GhostEmperor и UNC2286. По данным компании, атака была остановлена на ранней стадии и не привела к утечке данных.
Salt Typhoon впервые стала широко известна в 2024 году, когда ФБР сообщило о масштабных атаках этой группы на телекоммуникационные компании США. Тогда злоумышленники получили метаданные звонков и другую информацию, охватывающую почти всех американских пользователей мобильных сетей. Новая активность в Европе подтверждает, что группировка остаётся одной из самых настойчивых и технологически оснащённых китайских кибершпионских структур, ориентированных на долгосрочный контроль над сетями связи.
- Источник новости
- www.securitylab.ru
