21/10/25
Об этом сообщили аналитики Darktrace, отметив, что действия хакеров совпадают с типичными приёмами, которые ранее использовались этой группировкой против американских и азиатских операторов связи. Salt Typhoon известна как одна из старейших кибершпионских структур, работающих с 2019 года. Её участники специализируются на эксплуатации уязвимых сетевых устройств, создании скрытых каналов управления и извлечении конфиденциальных данных из инфраструктур более чем 80 стран. Об этом пишет Securitylab.
По информации Darktrace, взлом компанию произошёл в первую неделю июля 2025 года. Для первоначального проникновения злоумышленники использовали неисправность в шлюзе Citrix NetScaler Gateway. Исследователи не уточняют конкретный идентификатор, но по времени атаки она совпала с серией исправлений, выпущенных Citrix в июне и августе. Среди них — критические уязвимости CVE-2025-5349, CVE-2025-5777, получившая неофициальное название CitrixBleed 2, а также CVE-2025-6543, CVE-2025-7775, CVE-2025-7776 и CVE-2025-8424. Эти сбои позволяли получить удалённый доступ без аутентификации и загружать веб-шеллы на незащищённые устройства.
После успешного взлома шлюза злоумышленники переместились в подсеть Machine Creation Services, где расположены хосты Citrix Virtual Delivery Agent. Первая активность шла с узла, предположительно использующего сервис SoftEther VPN, что свидетельствует о намеренной маскировке инфраструктуры. На скомпрометированные серверы был установлен модульный троян SNAPPYBEE (известный также как Deed RAT), обеспечивающий дистанционное управление. В Darktrace подчёркивают, что атака была обнаружена и нейтрализована до того, как злоумышленники смогли закрепиться в сети компании.
Для доставки трояна участники группы применили DLL Sideloading — распространённый приём скрытного запуска вредоносного кода. Он основан на том, что легитимное приложение ошибочно загружает подложенную библиотеку DLL и выполняет внедрённый в неё код. В данном случае вредоносный модуль маскировался под компоненты антивирусных программ Norton Antivirus, Bkav Antivirus и IObit Malware Fighter. Такой метод позволял выполнять команды в доверенном контексте и обходить механизмы защиты.
Установленный канал управления (C2) использовал инфраструктуру LightNode VPS и работал как по HTTP, так и через нестандартный TCP-протокол. Исследователи зафиксировали обращение заражённых систем к домену aar.gandhibludtric[.]com (38.54.63[.]75), который ранее связывали с Salt Typhoon специалисты компании Silent Push. По совокупности признаков — от совпадений в тактиках и инструментах до идентичного стиля развёртывания инфраструктуры — Darktrace с умеренной уверенностью приписывает инцидент группировке Salt Typhoon, также известной под названиями Earth Estries, GhostEmperor и UNC2286. По данным компании, атака была остановлена на ранней стадии и не привела к утечке данных.
