Многоликий QSC: как CloudComputating превратил модульный фреймворк в инструмент разведки

В 2021 году специалисты Лаборатории Касперского начали исследование масштабной атаки на телекоммуникационную отрасль в Южной Азии, что привело к обнаружению вредоносного фреймворка QSC. Этот фреймворк представляет собой многофункциональную модульную платформу, каждый компонент которой выполняет отдельные задачи и сохраняется исключительно в оперативной памяти, что затрудняет его обнаружение.

Структура фреймворка QSC и его модули

Основой QSC является модуль-загрузчик, который запускается в виде DLL-сервиса и содержит ссылки на внутренние каталоги разработки, указывающие на связь с кибергруппировкой CloudComputating. Этот загрузчик загружает и распаковывает код, который затем инжектируется в память и активирует центральный модуль (ядро) Core, управляющий фреймворком.

Модули Core и Network обеспечивают взаимодействие с командными серверами (C2-серверами). Ядро передает сетевому модулю сжатый код и параметры конфигурации, позволяя ему устанавливать зашифрованное TLS-соединение с серверами управления. Конфигурация может включать такие данные, как параметры прокси-сервера, учетные данные и расписание связи, что позволяет атакующим учитывать архитектуру сети цели.

Командная оболочка и файловый менеджер фреймворка обеспечивают доступ к файловой системе и позволяют выполнять команды в системе жертвы. Файловый менеджер поддерживает команды, с помощью которых злоумышленники могут просматривать содержимое каталогов, передавать файлы, изменять их атрибуты и управлять временными метками. Командная оболочка обеспечивает запуск команд через процессы, такие как cmd.exe, и позволяет удаленно управлять целевой системой.

Связь с группой CloudComputating

Эксперты Лаборатории Касперского установили, что обнаруженный вредоносный фреймворк QSC может быть связан с деятельностью хакерской группы CloudComputating, известной также под псевдонимами BackdoorDiplomacy и Faking Dragon. Данная группировка уже проводила атаки на стратегически важные отрасли в разных странах, а последние обнаруженные активности указывают на их интерес к телекоммуникационному сектору.

Специалисты обратили внимание на уникальные IP-адреса и внутренние прокси-серверы, используемые злоумышленниками для управления зараженными системами, что свидетельствует о глубоком понимании сети атакуемой организации. Прокси-сервера позволяют скрывать командные сервера и затрудняют выявление источника атак.

Дополнительные бэкдоры и расширенные возможности QSC

В октябре 2023 года Лаборатория Касперского зафиксировала внедрение нового бэкдора GoClient, разработанного на языке Go и использующего шифрование RC4 для маскировки данных. В отличие от QSC, GoClient предназначен для сбора системных данных, таких как IP-адреса, имена хостов и информация об оборудовании. Эти данные собираются в формате JSON, шифруются и передаются на сервер управления, что позволяет злоумышленникам поддерживать скрытное присутствие в сети.

Исследование показало, что GoClient, как и ранее обнаруженный бэкдор Quarian (Turian), применяется для долговременного контроля над сетями жертвы. Этот бэкдор был загружен через QSC и помогал злоумышленникам выполнять команды на зараженных устройствах, такие как передача файлов, создание скриншотов и изменение файловой структуры. Вероятно, CloudComputating стремится обеспечить длительное присутствие в сетях жертв, используя QSC как основной инструмент управления и GoClient для вспомогательных задач.

Функции QSC и методы эксплуатации уязвимостей

QSC демонстрирует высокий уровень технологической компетенции создателей, позволяя гибко управлять атаками через централизованные C2-сервера и адаптировать командные параметры в зависимости от структуры сети жертвы. По данным лаборатории Касперского, QSC поддерживает выполнение следующих команд:

• передача информации о системе, такой как имя компьютера, версия ОС;
• выполнение команд через удалённую оболочку;
• отправка сигналов активности для поддержания связи с сервером;
• управление файлами на устройстве жертвы, включая их удаление, перемещение и изменение атрибутов.

Важной особенностью является способность модуля File Manager взаимодействовать с файловой системой, что позволяет злоумышленникам получать полные списки папок и файлов, а также информацию о временных метках и других атрибутах. Это дает возможность глубже изучить и использовать сетевую инфраструктуру жертвы для дальнейшего распространения атаки.

Значение угрозы и перспективы развития атак

Фреймворк QSC, являясь адаптивной угрозой, подчеркивает растущую сложность кибератак, особенно на телекоммуникационные компании, которые становятся все более уязвимыми перед лицом таких сложных атак. Модульная архитектура QSC и скрытая работа в памяти системы позволяют злоумышленникам оставаться незамеченными в течение длительного времени, что особенно опасно в случае телекоммуникационных компаний, где атакующие могут получить доступ к значительному объему данных и управлять системами.

Эксперты считают, что распространение фреймворка QSC и активное использование таких бэкдоров, как Quarian и GoClient, указывает на новую стратегию группы CloudComputating, которая ориентирована на долговременное и скрытное присутствие в сетях жертв. Использование прокси-серверов и защищенных каналов затрудняет обнаружение атак, а применяемые тактики свидетельствуют о высокой квалификации злоумышленников и их стратегическом подходе.

Выводы и рекомендации

Лаборатория Касперского рекомендует телекоммуникационным компаниям усилить защиту сети, учитывая особенности фреймворка QSC. Важными мерами являются мониторинг активности, анализ сетевого трафика и регулярное обновление защитного ПО, а также проведение обучения сотрудников основам кибербезопасности.

Использование продвинутых фреймворков, таких как QSC, требует от организаций готовности к реагированию на инциденты и создания комплексной стратегии кибербезопасности, направленной на минимизацию рисков и предотвращение утечек данных.