29/05/25
Хакерская группа, стоящая за этим инцидентом, получила кодовое название UTG-Q-015. После публикации материалов о первых нападках преступники кардинально изменили свою тактику и стали активно использовать уязвимости нулевого дня и N-day для вторжения на правительственные и корпоративные веб-сайты, пишут в Securitylab.
В марте UTG-Q-015 развернула группу сканирующих узлов для проведения брутфорс-атак против государственных и коммерческих целей. К апрелю исследователи зафиксировали масштабную кампанию по внедрению вредоносного кода на блокчейн-сайты, серверы цифровых подписей, биткоин-бэкенды и системы GitLab. Атаки затронули множество правительственных и корпоративных клиентов. Параллельно преступники проникали в финансовые учреждения через фишинговые сообщения в мессенджерах и устанавливали обратные соединения с внутренними веб-адресами для загрузки трёхэтапных полезных нагрузок.
Важно понимать, что китайскоязычные хакеры распространены по всей Восточной и Юго-Восточной Азии. Среди них, например, есть восточноазиатские аутсорсинговые игроки, такие как Operation EviLoong и Operation Giant, которые проводят шпионскую деятельность высокого уровня в собственных интересах.
Существуют также профессиональные команды вроде UTG-Q-015, базирующиеся в Юго-Восточной Азии и предоставляющие услуги по проникновению и сбору разведданных местным компаниям и организациям. Эти два типа атакующих несовместимы между собой и даже нередко нацеливаются друг на друга. Именно поэтому UTG-Q-015 в прошлом году вторглась на несколько отечественных программистских форумов - целью было нанесение ответного удара и месть. На поверхности это выглядит как "аутсорсинговая война", но на более глубоком уровне представляет конфликт между идеологиями и политическими позициями.
Эксперты рекомендуют правительственным и корпоративным клиентам активировать облачную проверку для обнаружения неизвестных угроз. В настоящее время продукт ASRock способен выявлять и уничтожать вредоносные инструменты группы UTG-Q-015, но в современном мире хакерские стратегии довольно просто модифицировать.
Основываясь на данных Xlab, UTG-Q-015 активировала новую партию сканирующих узлов в марте для атак на публично доступные веб-серверы правительственных и коммерческих организаций. После успешного взлома и развёртывания бэкдора Cobalt Strike хакеры модифицировали nps-туннель и использовали fscan для попыток бокового перемещения с применением взломанных паролей. К апрелю эта партия начала эксплуатировать уязвимости N-day, включая CVE-2021-38647, CVE-2017-12611 и CVE-2017-9805.
При проведении целевых атак против финансовых учреждений в апреле UTG-Q-015 сначала использовала неизвестные веб-уязвимости для вторжения на пограничные серверы целевых организаций в качестве плацдарма для загрузчика. Затем через мессенджеры злоумышленники отправляли сотрудникам целевых учреждений приманки в виде документов с названиями вроде "конфиденциальный XXXX.exe". Загрузчик в памяти содержал доменное имя публичной сети и внутренний IP-адрес пограничного веб-сервера той же организации, ранее скомпрометированного для получения полезной нагрузки третьего этапа.
UTG-Q-015 обычно задействует бэкдоры Xnote, Ghost, Vshell и другие для контроля целевых Linux-серверов. Цели в 2025 году в основном сосредоточены в области искусственного интеллекта. В феврале была использована уязвимость неавторизованного доступа плагина ComfyUI-Manager для отправки вредоносного файла модели, который в итоге загрузил Vshell. Государственным учреждениям сейчас особенно рекомендуется никогда не открывать компонент ComfyUI в публичную сеть, поскольку наблюдались случаи использования зарубежными APT-организациями неизвестных уязвимостей ComfyUI для шпионской деятельности.
