24/11/25
Российский IT-сектор в 2024–2025 годах оказался в центре одной из самых длительных и сложных кибершпионских кампаний, организованных группировкой APT31. Атаки были направлены преимущественно против интеграторов и подрядчиков, работающих с государственными заказчиками, а также против IT-компаний, обеспечивающих сервисы для крупных инфраструктурных объектов, пишет Securitylab.
Исследователи Positive Technologies смогли связать множество эпизодов в единую картину, выявив общую тактику, набор инструментов и методы ухода от обнаружения.
Основой кампании стала многоуровневая схема получения доступа, разведки, закрепления и эксфильтрации данных. Первичное проникновение чаще всего происходило через фишинговые письма с архивами, в которых находились LNK-файлы, подменяющие документ-приманку и запускающие загрузчик CloudyLoader. При этом злоумышленники использовали корпоративную лексику, прикрывались ролями менеджеров по закупкам и отправляли архивы с правдоподобными названиями. Аналогичные приемы применялись и против компаний из других стран, что указывает на широкую географию атак.
После первичного проникновения APT31 активно использовала легитимные утилиты и собственные инструменты для дальнейшего продвижения в сети. В инфраструктуре жертв обнаружены CloudSorcerer, LocalPlugx, GrewApacha, COFFProxy, VtChatter, OneDriveDoor и другие модули. Каждый инструмент выполнял свою роль: от скрытого канала связи до кейлоггера или бэкдора, имплантируемого через DLL sideloading. Одна из особенностей APT31 — маскировка под легитимные программы: вредоносные DLL заменяли библиотеку в цепочке загрузки, а основной исполняемый файл выглядел как системный компонент.
Значимой частью атаки было применение облачных сервисов. Команды к вредоносам передавались через OneDrive, Dropbox, соцсети и даже комментарии к файлам на VirusTotal. Такие коммуникации не отличались от обычного сетевого трафика, что резко снижало вероятность обнаружения. Отдельные бэкдоры работали в режиме серверов и ожидали подключения злоумышленников снаружи.
APT31 тщательно изучала инфраструктуру жертвы: использовались инструменты для извлечения паролей из браузеров, анализа Sticky Notes, поиска RDP-подключений и выгрузки данных о пользователях из событий безопасности. Для сетевой разведки применялся Advanced IP Scanner, что позволяло быстро картировать устройства и сервисы внутри сети.
Закрепление в системах строилось вокруг планировщика задач. Атакующие создавали задания с названиями, похожими на привычные процессы, включая GoogleUpdater, YandexDisk, NVIDIA и другие. В некоторых случаях задачи скрывались путем удаления конфигурационных файлов и дескрипторов безопасности, что делало их невидимыми даже для опытных администраторов. На отдельных хостах применялась уникальная техника запуска системного файла Setup.exe с ошибкой, которая перенаправляла выполнение в модифицированный скрипт ErrorHandler.cmd.
Для скрытого туннелирования трафика использовались Tailscale VPN и Microsoft dev tunnels. Эти решения работали через легитимные домены, не требовали открытия входящих портов и обеспечивали стабильный канал доступа к внутренним сервисам. Некоторые вредоносы также поддерживали SOCKS5-прокси для пересылки трафика между узлами.
Записи кейлоггера LocalPlugx показали, что выполнявшиеся команды копировались из заранее подготовленного сценария. Это означает, что APT31 использовала жестко прописанные процедуры для достижения целей внутри инфраструктуры, сокращая вероятность ошибок и упрощая автоматизацию атак.
Для эксфильтрации данных применялась утилита YaLeak. Она выгружала файлы из публичных директорий на Яндекс.Диск злоумышленников, после чего автоматически удаляла их на стороне жертвы. Помимо файлов, APT31 выгружала учетные данные, включая пароли пользователей Exchange через внедрение вредоносного модуля OWOWA в IIS.
