Восточный почерк: исследование кибератаки азиатской группировки на российскую компанию

Аналитики Центра кибербезопасности компании F6 представили результаты исследования атаки на российскую производственную...

Аналитики Центра кибербезопасности компании F6 представили результаты исследования атаки на российскую производственную компанию, которая была обнаружена и локализована в конце февраля 2026 г. в рамках предоставления сервиса SOC MDR. На фоне участившихся атак группировок из Азии на компании в России этот инцидент – пример того, как злоумышленники применяют продвинутые техники в сочетании с собственными инструментами для обхода современных средств защиты. Об этом CNews сообщили представители F6.

В исследуемой атаке в качестве вектора первоначального доступа злоумышленники использовали сервисную учетную запись подрядной организации, применяемую для доступа во внутреннюю сеть организации через Check Point VPN. После получения первоначального доступа злоумышленники приступили к разведке скомпрометированных узлов и доменной среды, используя штатные утилиты операционной системы Windows. Получив сетевой доступ, атакующие осуществили подключение по RDP-протоколу к внутренним системам.

Проанализировав телеметрию от агентов EDR, аналитики ЦК F6 установили, что вредоносное ПО было загружено на устройства в рамках активной RDP-сессии. После успешной загрузки вредоносного кода атакующие предпринимают меры по сокрытию своей активности.

Для перемещения на смежные устройства злоумышленники применяли механизм удаленного создания служб с использованием штатной утилиты sc.exe, что позволило инициировать запуск полезной нагрузки на удаленных узлах. Для закрепления на конечных устройствах злоумышленники использовали запланированные задачи, службы и автозагрузку Windows.

Анализ TTPs и образцов вредоносного ПО свидетельствует о том, что злоумышленники использовали бэкдор ShadowPad, активно применяемый китайскими APT-группами. Исследователи F6 выяснили, что в публичные песочницы за период с февраля по март 2026 года были загружены аналогичные образцы загрузчиков из Бразилии, Хорватии и Румынии, что позволяет предположить – похожие атаки были направлены на компании в этих странах. Загрузчик, который использовался в исследуемой специалистами F6 атаке, был загружен из Хорватии и Греции.

На основании имеющихся данных исследователи F6 пришли к выводу, что однозначно отнести данную кампанию к конкретной APT‑группе невозможно. При этом бэкдор ShadowPad используется несколькими китайскими APT‑операторами, что ограничивает круг потенциальных групп. Наблюдаются пересечения с группами APT41, Teleboyi, Earth Alux и APT15, однако текущие индикаторы не позволили точно установить группу атакующих.

«Китайские группировки по-прежнему представляют собой серьезную угрозу для организаций. Применение продвинутых техник в сочетании с инструментами собственной разработки, позволяет обходить даже продвинутые средства защиты и оставаться незамеченными в течение длительного периода», – сказали авторы исследования.

Адрес новости:
https://safe.cnews.ru/news/line/2026-04-09_vostochnyj_pocherk_issledovanie