- 21,728
- 46
- 8 Ноя 2022
Как хакеры внедрили троян PlugX под видом документов НАТО.
В сентябре и октябре специалисты Arctic Wolf Labs выявили новую волну кибершпионажа, направленную против дипломатических учреждений Венгрии и Бельгии. По их данным, за операцией стоит китайская группировка UNC6384, которая ранее уже привлекала внимание крупных технологических компаний. Ещё в августе Google сообщала о похожей активности этого же коллектива в Юго-Восточной Азии, где злоумышленники рассылали документы, имитирующие повестку заседаний Совета ЕС.
Расследование Arctic Wolf показало, что атака на европейские ведомства началась с целевых писем, оформленных под темы встреч Европейской комиссии, семинаров НАТО и международных конференций по дипломатическому взаимодействию. Ссылки в таких сообщениях вели к многоступенчатой схеме загрузки вредоносных файлов, оформленных под материалы реальных событий. В результате атакующие добивались исполнения вредоносного кода на компьютерах получателей.
Помимо учреждений Бельгии и Венгрии, специалисты зафиксировали активность UNC6384 в отношении сербских госструктур, связанных с авиацией, а также дипломатических миссий Италии и Нидерландов. Судя по тематике документов, злоумышленников интересовали вопросы трансграничной политики, оборонного сотрудничества и координации в сфере безопасности. Отдельно подчёркивается, что бельгийские ведомства представляют особую ценность из-за размещения на территории страны штаб-квартиры НАТО и множества институтов ЕС, что делает их привлекательной целью для разведывательного наблюдения за политикой альянса и процессами формирования общеевропейской повестки.
По оценке Arctic Wolf, масштабирование атак на европейские дипломатические структуры говорит либо о расширении мандата UNC6384, либо о подключении дополнительных оперативных подразделений с региональной специализацией. При этом характер инструментов и методов в разных странах остаётся идентичным, что указывает на централизованную разработку программных средств и распределение их между полевыми командами.
Главным элементом кампании стала эксплуатация уязвимости Windows, раскрытой в марте 2025 года и зарегистрированной как ZDI-CAN-25373 . Через неё злоумышленники добивались запуска PowerShell-команд, которые устанавливали вредонос PlugX — известный инструмент, используемый многими китайскими кибершпионскими структурами. Эта активность, по мнению Arctic Wolf, демонстрирует «тактическую эволюцию» группы, сочетающую новую технику эксплуатации с более изощрённой социальной инженерией.
Исследователи напомнили, что ещё весной Trend Micro сообщала о применении той же уязвимости как нулевого дня сразу несколькими правительственными хакерскими объединениями из Китая, Ирана и Северной Кореи, что позволило им организовать масштабное похищение данных и разведывательные операции. В случае с UNC6384 особенно тревожит скорость адаптации — всего через полгода после публичного раскрытия ошибки эта уязвимость уже была интегрирована в инструментарий группы. По мнению Arctic Wolf, это может свидетельствовать либо о систематическом мониторинге публичных бюллетеней безопасности, либо о наличии каналов предварительного доступа к сведениям о неисправностях.
PlugX , применённый в атаке, позволяет злоумышленникам закрепляться в системе, следить за перепиской и планами дипломатических ведомств, извлекать документы, а также собирать учётные данные для дальнейшего продвижения в сети. Этот вредонос известен с 2008 года и продолжает активно развиваться. Среди его модификаций встречаются версии Korplug, TIGERPLUG и SOGU, а новейшие экземпляры, найденные Arctic Wolf, были собраны в течение последних месяцев. Они сохраняют ключевые возможности для шпионажа — ведение журналов нажатий клавиш, загрузку и выгрузку файлов, мониторинг системных процессов — при этом заметно уменьшен след, оставляемый в системе, что затрудняет форензику.
Arctic Wolf связывает UNC6384 с одной из самых известных китайских группировок Mustang Panda : у них совпадают инфраструктура, инструменты, набор целей и подходы к операции. PlugX традиционно ассоциируется именно с этой организацией. В январе Министерство юстиции США провело операцию по удалению PlugX более чем с 4000 американских устройств, чтобы остановить кампанию Mustang Panda. Тогда вредонос был обнаружен примерно на 100000 компьютеров в 170 странах. Среди жертв группы числятся Африканский союз, телекоммуникационные операторы, главы правительств азиатских стран, президент Мьянмы и разведслужба Индонезии.
В сентябре и октябре специалисты Arctic Wolf Labs выявили новую волну кибершпионажа, направленную против дипломатических учреждений Венгрии и Бельгии. По их данным, за операцией стоит китайская группировка UNC6384, которая ранее уже привлекала внимание крупных технологических компаний. Ещё в августе Google сообщала о похожей активности этого же коллектива в Юго-Восточной Азии, где злоумышленники рассылали документы, имитирующие повестку заседаний Совета ЕС.
Расследование Arctic Wolf показало, что атака на европейские ведомства началась с целевых писем, оформленных под темы встреч Европейской комиссии, семинаров НАТО и международных конференций по дипломатическому взаимодействию. Ссылки в таких сообщениях вели к многоступенчатой схеме загрузки вредоносных файлов, оформленных под материалы реальных событий. В результате атакующие добивались исполнения вредоносного кода на компьютерах получателей.
Помимо учреждений Бельгии и Венгрии, специалисты зафиксировали активность UNC6384 в отношении сербских госструктур, связанных с авиацией, а также дипломатических миссий Италии и Нидерландов. Судя по тематике документов, злоумышленников интересовали вопросы трансграничной политики, оборонного сотрудничества и координации в сфере безопасности. Отдельно подчёркивается, что бельгийские ведомства представляют особую ценность из-за размещения на территории страны штаб-квартиры НАТО и множества институтов ЕС, что делает их привлекательной целью для разведывательного наблюдения за политикой альянса и процессами формирования общеевропейской повестки.
По оценке Arctic Wolf, масштабирование атак на европейские дипломатические структуры говорит либо о расширении мандата UNC6384, либо о подключении дополнительных оперативных подразделений с региональной специализацией. При этом характер инструментов и методов в разных странах остаётся идентичным, что указывает на централизованную разработку программных средств и распределение их между полевыми командами.
Главным элементом кампании стала эксплуатация уязвимости Windows, раскрытой в марте 2025 года и зарегистрированной как ZDI-CAN-25373 . Через неё злоумышленники добивались запуска PowerShell-команд, которые устанавливали вредонос PlugX — известный инструмент, используемый многими китайскими кибершпионскими структурами. Эта активность, по мнению Arctic Wolf, демонстрирует «тактическую эволюцию» группы, сочетающую новую технику эксплуатации с более изощрённой социальной инженерией.
Исследователи напомнили, что ещё весной Trend Micro сообщала о применении той же уязвимости как нулевого дня сразу несколькими правительственными хакерскими объединениями из Китая, Ирана и Северной Кореи, что позволило им организовать масштабное похищение данных и разведывательные операции. В случае с UNC6384 особенно тревожит скорость адаптации — всего через полгода после публичного раскрытия ошибки эта уязвимость уже была интегрирована в инструментарий группы. По мнению Arctic Wolf, это может свидетельствовать либо о систематическом мониторинге публичных бюллетеней безопасности, либо о наличии каналов предварительного доступа к сведениям о неисправностях.
PlugX , применённый в атаке, позволяет злоумышленникам закрепляться в системе, следить за перепиской и планами дипломатических ведомств, извлекать документы, а также собирать учётные данные для дальнейшего продвижения в сети. Этот вредонос известен с 2008 года и продолжает активно развиваться. Среди его модификаций встречаются версии Korplug, TIGERPLUG и SOGU, а новейшие экземпляры, найденные Arctic Wolf, были собраны в течение последних месяцев. Они сохраняют ключевые возможности для шпионажа — ведение журналов нажатий клавиш, загрузку и выгрузку файлов, мониторинг системных процессов — при этом заметно уменьшен след, оставляемый в системе, что затрудняет форензику.
Arctic Wolf связывает UNC6384 с одной из самых известных китайских группировок Mustang Panda : у них совпадают инфраструктура, инструменты, набор целей и подходы к операции. PlugX традиционно ассоциируется именно с этой организацией. В январе Министерство юстиции США провело операцию по удалению PlugX более чем с 4000 американских устройств, чтобы остановить кампанию Mustang Panda. Тогда вредонос был обнаружен примерно на 100000 компьютеров в 170 странах. Среди жертв группы числятся Африканский союз, телекоммуникационные операторы, главы правительств азиатских стран, президент Мьянмы и разведслужба Индонезии.
- Источник новости
- www.securitylab.ru
