Tropic Trooper: хакеры теперь сеют хаос на Ближнем Востоке

Эксперты Kaspersky GReAT обнаружили , что группа APT Tropic Trooper активизировала свои атаки в 2024 году, нацелившись на правительственные структуры на Ближнем Востоке. Tropic Trooper, также известная как KeyBoy и Pirate Panda, действует с 2011 года, и ранее её целями были государственные и высокотехнологичные организации в Тайване, Филиппинах и Гонконге. Однако новое расследование показало, что с июня 2023 года группа ведет упорные кампании против одного из государственных учреждений, занимающегося правами человека.

Первая активность была зафиксирована в июне 2024 года, когда системы безопасности обнаружили новые версии веб-оболочек China Chopper на публичном веб-сервере, который использовал систему управления контентом Umbraco на базе C#. Эта веб-оболочка активно используется киберпреступниками для удаленного управления серверами, и её нахождение на серверах государственных структур вызвало серьёзные опасения.

После выявления веб-оболочки специалисты обнаружили и другие вредоносные программы, связанные с этой атакой. Среди них — инструменты для пост-эксплуатации, предназначенные для сканирования сети, обхода мер безопасности и горизонтального перемещения по сети. Одной из ключевых находок стало выявление вредоносных загрузчиков, использующих уязвимости в порядках загрузки библиотек DLL (DLL search-order hijacking) для проникновения на компьютеры жертв. Эти загрузчики активировали более опасное программное обеспечение, названное Crowdoor.

Примечательно, что первая версия загрузчика Crowdoor была заблокирована, что вынудило хакеров адаптировать свои методы и перейти на использование новой версии, ранее неизвестной специалистам по кибербезопасности. Несмотря на это, эксперты с высокой долей уверенности атрибутировали данную атаку группе Tropic Trooper, основываясь на совпадении методов, инструментов и кода с ранее выявленными кампаниями этой группы.

Как разворачивалась атака

Основной целью атаки стала система управления контентом Umbraco. Первоначальная вредоносная веб-оболочка, встроенная в один из модулей Umbraco, использовалась для выполнения команд, отправляемых через контроллер системы управления. Хакеры скомпилировали оболочку как модуль .NET для Umbraco CMS, что позволяло им скрытно передавать команды через систему управления контентом.

После успешного внедрения веб-оболочки злоумышленники начали загружать дополнительные вредоносные программы на скомпрометированный сервер. Среди них были инструменты для сетевого сканирования, такие как Fscan и Swor, а также открытые прокси-инструменты, предназначенные для обхода мер сетевой безопасности.

Хакеры использовали эксплойты для уязвимостей CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207 в Microsoft Exchange, а также CVE-2023-26360 в Adobe ColdFusion. Эти уязвимости оставались не устраненными на серверах, что дало злоумышленникам возможность проникнуть в системы и закрепиться там с помощью веб-оболочек.

Мотивы и методы атаки

Tropic Trooper отличается широким использованием открытых инструментов, разработанных китайскими специалистами. Например, Fscan — утилита для сканирования уязвимостей, активно используется хакерами для сбора информации о внутренних сетях жертв, а также для выявления слабых мест в системах безопасности. В одном из скриптов, обнаруженных на скомпрометированном сервере, хакеры использовали команду ICMP для проверки доступности машин в сети.

Другой важный инструмент, Swor, широко применяется для проведения атак с использованием Mimicatz и других утилит, обеспечивающих удалённый доступ к системе. Эти инструменты уже применялись в атаках на государственные учреждения в Малайзии, что подтверждает общий вектор атак Tropic Trooper — проникновение в государственные структуры и кража данных.

Ещё одной особенностью работы группы стало использование зашифрованных веб-оболочек, скрытых от систем обнаружения благодаря шифровальщику ByPassGodzilla. Это программное обеспечение используется для обфускации вредоносного кода, что значительно усложняет его выявление.

Технические аспекты

Одна из ключевых техник, применяемых Tropic Trooper, — это загрузка вредоносных DLL-файлов через уязвимые легитимные исполняемые файлы. В данном случае хакеры использовали два файла, datast.dll и VERSION.dll, которые подгружали вредоносный код в систему. Эти файлы были внедрены в легитимные процессы, такие как msiexec.exe, после чего происходила инъекция следующего этапа вредоносного кода.

Обнаружение этих DLL-файлов позволило связать атаку с деятельностью Tropic Trooper благодаря схожести методик и использованию одинакового RC4-ключа для шифрования данных. Этот ключ уже использовался в предыдущих атаках группы, что подтверждает их причастность к текущему инциденту.

Последствия и цели атак

Наибольший интерес вызывает тот факт, что основным объектом атаки стал контент, связанный с исследованиями по правам человека, опубликованными на скомпрометированной платформе. Учитывая, что большая часть контента была посвящена конфликту между Израилем и ХАМАС, можно предположить, что основная цель атаки заключалась в доступе к информации по этой теме.

Эта новая стратегическая цель группы Tropic Trooper открывает дополнительные возможности для анализа их мотивации и целей. Сфокусированность на правительственных структурах, занимающихся правами человека, может свидетельствовать о желании хакеров получить доступ к данным, имеющим политическое значение на международной арене.

По мере расследования данного инцидента специалисты по кибербезопасности продолжают выявлять новые образцы вредоносных программ и обновления инструментов, применяемых хакерами. Это позволяет глубже понять методы работы Tropic Trooper и предсказать их дальнейшие шаги.