Невидимая угроза годами скрывалась в памяти телеком-сетей Южной Азии.
В 2021 году специалисты Лаборатории Касперского начали исследование масштабной атаки на телекоммуникационную отрасль в Южной Азии, что привело к обнаружению вредоносного фреймворка QSC. Этот фреймворк представляет собой многофункциональную модульную платформу, каждый компонент которой выполняет отдельные задачи и сохраняется исключительно в оперативной памяти, что затрудняет его обнаружение.
Основой QSC является модуль-загрузчик, который запускается в виде DLL-сервиса и содержит ссылки на внутренние каталоги разработки, указывающие на связь с кибергруппировкой CloudComputating. Этот загрузчик загружает и распаковывает код, который затем инжектируется в память и активирует центральный модуль (ядро) Core, управляющий фреймворком.
Модули Core и Network обеспечивают взаимодействие с командными серверами (C2-серверами). Ядро передает сетевому модулю сжатый код и параметры конфигурации, позволяя ему устанавливать зашифрованное TLS-соединение с серверами управления. Конфигурация может включать такие данные, как параметры прокси-сервера, учетные данные и расписание связи, что позволяет атакующим учитывать архитектуру сети цели.
Командная оболочка и файловый менеджер фреймворка обеспечивают доступ к файловой системе и позволяют выполнять команды в системе жертвы. Файловый менеджер поддерживает команды, с помощью которых злоумышленники могут просматривать содержимое каталогов, передавать файлы, изменять их атрибуты и управлять временными метками. Командная оболочка обеспечивает запуск команд через процессы, такие как cmd.exe
, и позволяет удаленно управлять целевой системой.
Эксперты Лаборатории Касперского установили, что обнаруженный вредоносный фреймворк QSC может быть связан с деятельностью хакерской группы CloudComputating, известной также под псевдонимами BackdoorDiplomacy и Faking Dragon. Данная группировка уже проводила атаки на стратегически важные отрасли в разных странах, а последние обнаруженные активности указывают на их интерес к телекоммуникационному сектору.
Специалисты обратили внимание на уникальные IP-адреса и внутренние прокси-серверы, используемые злоумышленниками для управления зараженными системами, что свидетельствует о глубоком понимании сети атакуемой организации. Прокси-сервера позволяют скрывать командные сервера и затрудняют выявление источника атак.
В октябре 2023 года Лаборатория Касперского зафиксировала внедрение нового бэкдора GoClient, разработанного на языке Go и использующего шифрование RC4 для маскировки данных. В отличие от QSC, GoClient предназначен для сбора системных данных, таких как IP-адреса, имена хостов и информация об оборудовании. Эти данные собираются в формате JSON, шифруются и передаются на сервер управления, что позволяет злоумышленникам поддерживать скрытное присутствие в сети.
Исследование показало, что GoClient, как и ранее обнаруженный бэкдор Quarian (Turian), применяется для долговременного контроля над сетями жертвы. Этот бэкдор был загружен через QSC и помогал злоумышленникам выполнять команды на зараженных устройствах, такие как передача файлов, создание скриншотов и изменение файловой структуры. Вероятно, CloudComputating стремится обеспечить длительное присутствие в сетях жертв, используя QSC как основной инструмент управления и GoClient для вспомогательных задач.
QSC демонстрирует высокий уровень технологической компетенции создателей, позволяя гибко управлять атаками через централизованные C2-сервера и адаптировать командные параметры в зависимости от структуры сети жертвы. По данным лаборатории Касперского, QSC поддерживает выполнение следующих команд:
Важной особенностью является способность модуля File Manager взаимодействовать с файловой системой, что позволяет злоумышленникам получать полные списки папок и файлов, а также информацию о временных метках и других атрибутах. Это дает возможность глубже изучить и использовать сетевую инфраструктуру жертвы для дальнейшего распространения атаки.
Фреймворк QSC, являясь адаптивной угрозой, подчеркивает растущую сложность кибератак, особенно на телекоммуникационные компании, которые становятся все более уязвимыми перед лицом таких сложных атак. Модульная архитектура QSC и скрытая работа в памяти системы позволяют злоумышленникам оставаться незамеченными в течение длительного времени, что особенно опасно в случае телекоммуникационных компаний, где атакующие могут получить доступ к значительному объему данных и управлять системами.
Эксперты считают, что распространение фреймворка QSC и активное использование таких бэкдоров, как Quarian и GoClient, указывает на новую стратегию группы CloudComputating, которая ориентирована на долговременное и скрытное присутствие в сетях жертв. Использование прокси-серверов и защищенных каналов затрудняет обнаружение атак, а применяемые тактики свидетельствуют о высокой квалификации злоумышленников и их стратегическом подходе.
Лаборатория Касперского рекомендует телекоммуникационным компаниям усилить защиту сети, учитывая особенности фреймворка QSC. Важными мерами являются мониторинг активности, анализ сетевого трафика и регулярное обновление защитного ПО, а также проведение обучения сотрудников основам кибербезопасности.
Использование продвинутых фреймворков, таких как QSC, требует от организаций готовности к реагированию на инциденты и создания комплексной стратегии кибербезопасности, направленной на минимизацию рисков и предотвращение утечек данных.
Первое — находим постоянно, второе — ждем вас