- 27,922
- 46
- 8 Ноя 2022
За безобидным запуском скрывался механизм для тихого проникновения.
Многолетняя разведывательная операция обычно заметна не по одному громкому взлому, а по цепочке тихих проникновений, и специалисты Unit 42 связали такую кампанию с группой CL-STA-1062, которая в 2025 году атаковала государственные структуры и критическую инфраструктуру в Юго-Восточной Азии.
По данным Unit 42, активность группы прослеживается как минимум с марта 2022 года. Специалисты с высокой уверенностью связывают CL-STA-1062 с кластером UAT-7237, ранее замеченным в атаках на инфраструктуру веб-хостинга на Тайване. В новой кампании основными целями стали государственные организации, энергетические компании и госпредприятия.
В сентябре 2025 года атакующие скомпрометировали государственную структуру в одной из стран региона. Они развернули веб-шеллы , то есть скрытые файлы для удалённого выполнения команд на сервере, и вывели данные из базы MSSQL. В той же стране злоумышленники провели разведку сети другой госорганизации, а в одном случае подготовили к выгрузке целый каталог с исходным кодом веб-сервера.
С октября по декабрь 2025 года Unit 42 наблюдала вероятную компрометацию как минимум десяти организаций в Юго-Восточной Азии. Отдельное внимание группа уделяла энергетике. В одной сети критической инфраструктуры активность длилась несколько месяцев и охватила весь цикл атаки, от первичного доступа до вывода данных. Позже специалисты обнаружили компрометацию двух государственных энергетических организаций в той же стране.
CL-STA-1062 сочетала готовые инструменты и собственное вредоносное ПО. После взлома веб-приложений группа запускала ASPX-веб-шеллы, собирала сведения о системе и сети, искала пути для перемещения внутри инфраструктуры и отправляла результаты на подконтрольные серверы. Для туннелирования, управления и вывода данных применялись SoftEther <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>, VNT и yuze, причём файлы маскировались под компоненты VMware или XDR-агента.
Новым элементом кампании стал TinyRCT, ранее не описанный бэкдор для Windows на C#. Вредоносная программа выполняет команды, просматривает файлы, делает снимки экрана, передаёт данные на управляющий сервер и умеет удалять следы работы. Перед запуском TinyRCT проверяет, находится ли файл в %LOCALAPPDATA%, а загрузчик проверяет запуск из папки Downloads. Такие проверки помогают вредоносу завершить работу в песочнице или на рабочем столе аналитика.
Заражение связывают с архивом chrome_setup.zip. Внутри находились легитимный исполняемый файл, конфигурация и вредоносная DLL. При запуске установщика среда .NET читала соседний конфигурационный файл и загружала DLL в доверенный процесс. Затем загрузчик скачивал TinyRCT под именем PerfWatson2.exe и создавал задачу GoogleUpdaterTaskSystem, чтобы вредоносный файл запускался при входе пользователя в систему.
Для снижения риска Unit 42 рекомендует блокировать запуск недоверенных файлов с помощью строгих поведенческих правил и ограничений выполнения. Организациям также следует отслеживать известные домены, URL и IP-адреса, связанные с кампанией, и проверять признаки активности TinyRCT, SoftEther VPN, VNT, веб-шеллов и архивов RAR с данными.
Многолетняя разведывательная операция обычно заметна не по одному громкому взлому, а по цепочке тихих проникновений, и специалисты Unit 42 связали такую кампанию с группой CL-STA-1062, которая в 2025 году атаковала государственные структуры и критическую инфраструктуру в Юго-Восточной Азии.
По данным Unit 42, активность группы прослеживается как минимум с марта 2022 года. Специалисты с высокой уверенностью связывают CL-STA-1062 с кластером UAT-7237, ранее замеченным в атаках на инфраструктуру веб-хостинга на Тайване. В новой кампании основными целями стали государственные организации, энергетические компании и госпредприятия.
В сентябре 2025 года атакующие скомпрометировали государственную структуру в одной из стран региона. Они развернули веб-шеллы , то есть скрытые файлы для удалённого выполнения команд на сервере, и вывели данные из базы MSSQL. В той же стране злоумышленники провели разведку сети другой госорганизации, а в одном случае подготовили к выгрузке целый каталог с исходным кодом веб-сервера.
С октября по декабрь 2025 года Unit 42 наблюдала вероятную компрометацию как минимум десяти организаций в Юго-Восточной Азии. Отдельное внимание группа уделяла энергетике. В одной сети критической инфраструктуры активность длилась несколько месяцев и охватила весь цикл атаки, от первичного доступа до вывода данных. Позже специалисты обнаружили компрометацию двух государственных энергетических организаций в той же стране.
CL-STA-1062 сочетала готовые инструменты и собственное вредоносное ПО. После взлома веб-приложений группа запускала ASPX-веб-шеллы, собирала сведения о системе и сети, искала пути для перемещения внутри инфраструктуры и отправляла результаты на подконтрольные серверы. Для туннелирования, управления и вывода данных применялись SoftEther <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>, VNT и yuze, причём файлы маскировались под компоненты VMware или XDR-агента.
Новым элементом кампании стал TinyRCT, ранее не описанный бэкдор для Windows на C#. Вредоносная программа выполняет команды, просматривает файлы, делает снимки экрана, передаёт данные на управляющий сервер и умеет удалять следы работы. Перед запуском TinyRCT проверяет, находится ли файл в %LOCALAPPDATA%, а загрузчик проверяет запуск из папки Downloads. Такие проверки помогают вредоносу завершить работу в песочнице или на рабочем столе аналитика.
Заражение связывают с архивом chrome_setup.zip. Внутри находились легитимный исполняемый файл, конфигурация и вредоносная DLL. При запуске установщика среда .NET читала соседний конфигурационный файл и загружала DLL в доверенный процесс. Затем загрузчик скачивал TinyRCT под именем PerfWatson2.exe и создавал задачу GoogleUpdaterTaskSystem, чтобы вредоносный файл запускался при входе пользователя в систему.
Для снижения риска Unit 42 рекомендует блокировать запуск недоверенных файлов с помощью строгих поведенческих правил и ограничений выполнения. Организациям также следует отслеживать известные домены, URL и IP-адреса, связанные с кампанией, и проверять признаки активности TinyRCT, SoftEther VPN, VNT, веб-шеллов и архивов RAR с данными.
- Источник новости
- www.securitylab.ru
