25/03/25
Для маскировки своего присутствия и маршрутизации трафика злоумышленники использовали скомпрометированные маршрутизаторы Zyxel, развернув через них скрытую инфраструктуру.
Специалисты Sygnia, занимавшиеся расследованием инцидента, зафиксировали устойчивость атакующих ко множественным попыткам устранения, а также высокий уровень подготовки. Начав с внедрения классического веб-шелла China Chopper (в модифицированной версии с шифрованием AES), группировка постепенно внедрила более сложный инструмент INMemory. Веб-шелл выполняет полезные нагрузки напрямую в памяти сервера, используя стороннюю библиотеку eval.dll для незаметного запуска кода, пишет Securitylab.
Ключевой особенностью операции стала уникальная архитектура управления. Weaver Ant использовала технику туннелирования веб-шеллов, когда несколько веб-шеллов, установленных на разных серверах, передавали зашифрованные команды друг другу. Это позволяло постепенно углублять доступ во внутренние сегменты сети, в том числе на изолированные от интернета серверы. Каждый элемент в цепочке работал как прокси, передавая и исполняя полезную нагрузку лишь на своём этапе.
Параллельно хакеры выстраивали собственную сеть ретрансляторов — ORB (operational relay box) — на базе домашних маршрутизаторов Zyxel. Устройства выступали в роли шлюзов, через которые шёл трафик между C2-серверами и веб-шеллами внутри инфраструктуры жертвы.
Для сбора информации использовались пассивные методы, минимизирующие вероятность обнаружения. Например, применялись зеркалирование портов и сбор сетевого трафика без установки дополнительных агентов. Также киберпреступники отключали защитные механизмы системы, такие как Event Tracing for Windows и AMSI, чтобы избежать обнаружения решениями защиты.
Передвижение внутри сети происходило через общие SMB-ресурсы и учётные записи с высокими привилегиями, использовавшие одни и те же пароли годами. Это позволило атакующим получить доступ к конфигурациям, журналам и другим чувствительным данным, необходимым для навигации в инфраструктуре и закрепления.
Согласно выводам Sygnia, действия группировки соответствуют целям государственного шпионажа — упор делался на сбор технической информации и сохранение устойчивого присутствия, а не на кражу пользовательских данных или финансовых активов. Дополнительным аргументом в пользу китайского происхождения стали используемые инструменты, ранее связывавшиеся с Китаем, работа в азиатском часовом поясе и выбор моделей маршрутизаторов, популярных в регионе.
