17/10/25
Согласно недавнему отчёту Symantec, APT-коллектив Jewelbug проник в сеть неназванного российского IT-поставщика и провёл там длительную операцию, имевшую признаки подготовки к атаке через цепочку поставок.
Обнаруженные следы указывают на доступ к репозиториям исходного кода и системам сборки, а также на выгрузку данных через облачную платформу Yandex Cloud — выбор, который, по мнению авторов отчёта, мог быть обусловлен желанием не вызывать подозрений у российских заказчиков, пишут в Securitylab.
Атака велась с использованием приёмов «living off the land» — переименование Microsoft Console Debugger (cdb.exe) в «7zup.exe», дампинг учётных данных, создание задач schtasks для закрепления и очистка журналов событий Windows. На целевых машинах были выявлены образцы с именем «yandex2.exe», применявшиеся для эксфильтрации. Хронология указывает на присутствие злоумышленников с января по май 2025 года, что позволяет говорить о целенаправленной и терпеливой кампании.
Параллельно команда Symantec наблюдала вмешательства Jewelbug в инфраструктуры других регионов: в Южной Америке злоумышленники развернули новый бэкдор, использующий Microsoft Graph API и OneDrive в роли командных серверов, а тайваньская жертва подверглась загрузке ShadowPad и эксплуатации уязвимых драйверов в технике BYOVD. В арсенале группы также отмечены инструменты Finaldraft, Pathloader и Guidloader, сетевые каналы через DNS и ICMP, а для маскировки трафика применялись общедоступные туннели и прокси-решения.
С учётом того, что до сих пор большинство операций подобных китайских групп было зафиксировано в Азии и Латинской Америке, вмешательство в российскую инфраструктуру выглядит примечательно — оно отражает смещение зон интересов и подчёркивает риск для клиентов поставщиков ПО.
Авторы отчёта рекомендуют проверять целостность систем сборки, ограничивать выполнение отладочных утилит и проводить аудит внешних облачных соединений, чтобы минимизировать вероятность широкомасштабной компрометации через обновления и распространение ПО.
