Китайская кибергруппировка работает с 9 до 19, используя деление пейлоада

Екатерина Быстрова 18 Августа 2022 - 14:07

Таргетированные атаки

...

Китайская кибергруппировка работает с 9 до 19, используя деление пейлоада

Китайская киберпреступная группировка APT41 (другое имя — Winnti) давно привлекает внимание специалистов своим профессиональным подходом к кибератакам. В этот раз активность группы проанализировала компания Group-IB.

Согласно данным экспертов из Group-IB Threat Intelligence, за 2021 год кибергруппировке удалось проникнуть в сети как минимум 13 организаций по всему миру. Исследователи отдельно выделяют анализ «рабочих дней» хакеров.

Активность APT41 уходит корнями аж в 2007 год, причём кибергруппа преследует не только цели кибершпионажа, но и пытается получить финансовую выгоду в ходе атак. В Group-IB выделяют четыре кампании, которые APT41 провела за прошлый год.

Киберпреступники атакуют преимущественно госсектор, сферу здравоохранения, логистики, а также образовательные организации и гостиницы. География операций группы достаточно обширна — среди атакуемых стран есть Китай, Вьетнам, Индия, Тайвань и США.

В ходе кампаний злоумышленники используют следующие инструменты для разведки: Acunetix, Nmap, SQLmap, OneForAll, subdomain3, subDomainsBrute, Sublist3r. Интересно, что в начале 2022 года стало известно о применении APT41 UEFI-вредоноса MoonBounce, который невозможно удалить даже заменой жёсткого диска.

Атаки Winnti начинаются «по классике»: жертва получает фишинговое письмо, после чего группировка пытается использовать одну из известных уязвимостей (фигурирует та же Proxylogon). Тем не менее Group-IB отметила ещё один вектор — SQL-инъекции, которые реализуются на сайтах с помощью инструмента SQLmap. Таким способом хакеры проникли в сети жертвы в половине случаев (оказались уязвимы 43 из 86 веб-ресурсов).

Ещё из уникального в атаках APT41 эксперты отмечают ранее не фигурировавший способ деления полезной нагрузки, для чего применялся кастомизированный маячок Cobalt Strike (Beacon). Кстати, в прошлом году этот инструмент был портирован на Linux.

Сначала его компилировали, потом кодировали в Base64, после чего разбивали ровно по 775 символов и добавляли в текстовый файл через определённую команду. Даже отдельные серверы группировки были заточены на размещение фреймворка Cobalt Strike. Помимо этого, хакеры использовали уникальные SSL-сертификаты, замаскированные под Microsoft, Facebook (признана экстремистской, деятельность запрещена на территории России) и CloudFlare.

Одним из самых интересных моментов исследования Group-IB Threat Intelligence является анализ всех временных меток атакующих под UTC+8. Так специалистам удалось выяснить, что группировка начинает активность в 9 часов утра и заканчивает — к 19 часам.

На рабочих станциях используются китайские символы. Аналитики обратили внимание на применение специфического формата Pinyin для названия директорий.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 08 Июня 2026 - 08:59

Соответствие законодательству РФ Общее Персональный VPN Анонимайзеры Системы контентной веб-фильтрации

Блокировка по фингерпринту: почему у россиян снова посыпались Xray, REALITY

В сообществе пользователей VPN вновь неспокойно. В начале июня многие россияне столкнулись с массовыми сбоями в работе популярных решений на базе Xray, VLESS и REALITY. Автор под ником hyperion_cs провёл на Хабре собственное исследование и заявил, что обнаружил новый алгоритм ограничений, который применяется как мобильными, так и домашними провайдерами.

По его версии, проблема связана не с блокировкой конкретных серверов или IP-адресов.

Гораздо интереснее другое: система анализирует параметры TLS-соединений, включая SNI, сетевую принадлежность сервера и так называемый фингерпринт клиента — набор признаков, по которым можно определить, под какой браузер маскируется соединение.

Как утверждает исследователь, под особое внимание попадают подключения к серверам в определённых подсетях и автономных системах. Причём речь идёт не только о зарубежных площадках, но и о крупных российских инфраструктурных провайдерах, включая Selectel, Яндекс Облако и Cloud.ru.

Согласно опубликованному анализу, если система фиксирует несколько параллельных TLS-подключений к одному ресурсу за короткий промежуток времени, соединения могут быть принудительно заморожены на две минуты. Если после этого клиент меняет свой сетевой отпечаток, срок ограничения якобы увеличивается уже до десяти минут.

Автор исследования отмечает, что такой подход напоминает известную среди специалистов сибирскую блокировку, но с более жёсткими параметрами и расширенным охватом.

Особое беспокойство вызывает то, что под ограничения потенциально могут попадать не только инструменты обхода блокировок, но и вполне легитимные веб-сайты, размещённые в российских дата-центрах. По мнению исследователя, это может негативно сказываться на доступности обычных интернет-ресурсов.

Для проверки своей гипотезы автор использовал инструмент dpi-ch из проекта dpi-checkers. По его словам, результаты тестирования показывают, что ограничения затрагивают часть популярных российских инфраструктурных площадок, а для зарубежных операторов по-прежнему применяются дополнительные механизмы фильтрации трафика.

Следует отметить, что опубликованное исследование представляет собой независимый технический анализ. Официальных комментариев со стороны операторов связи или регулирующих органов по поводу описанного механизма на момент публикации не поступало.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!