APT Charming Kitten (APT 42)

Анализ тактик, техник и процедур (TTP) группировки

Вступление

Мы уже прошли с вами путь пользователя на онлайн-полигоне Standoff Defend, и остался последний шаг — онлайн мини-кибербитва.

На обновленном Standoff Defend пользователи тренируются в индивидуальном режиме расследовать APT-атаки, изучают теоретические материалы, решают практические задания. А в конце мы проверяем командное взаимодействие в рамках онлайн-мини-кибербитвы, где участники столкнутся как с регулируемыми, так и с живыми атаками от белых хакеров платформы Standoff 365. Именно симбиоз синтетики и живого трафика дает максимальный эффект для прокачки навыков специалистов по ИБ.

Специально для участников марафона один из топовых белых хакеров нашей платформы — VeeZy — проанализировал атаку группировки Charming Kitten и предложил альтернативные варианты взлома.

Группировка Charming Kitten (также известная как APT 42) проводит целевые кибератаки, нацеленные на долгосрочный сбор разведданных. Для них характерны гибкие подходы: мы разберем одну из их TTP, а также рассмотрим, какие еще варианты действий атакующие могут применить на каждом этапе. Ниже представлено 16 шагов — от предварительной разведки до устойчивого присутствия в сети жертвы — и возможные последствия.

1
Reconnaissance
2
Weaponization
3
Social Engineering
4
Initial Contact
5
Delivery
6
Initial Access
7
Persistence
8
Social Media Pivot
9
Internal Recon
10
Credential Access
11
Lateral Movement
12
Privilege Escalation
13
Collection
14
Data Exfiltration
15
Defense Evasion
16
Long Term Persistence
1

Reconnaissance

Разведка

На этом подготовительном этапе злоумышленники собирают максимум информации о будущей цели: как внешне (публичный OSINT), так и через косвенные каналы.

Основной сценарий (зелёный)
  • Проверка соцсетей, публичных выступлений, корпоративных сайтов. Цель — понять внутреннюю структуру, выявить сотрудников, их интересы, возможные уязвимые места.
Собранные сведения помогают составить «легенду» для фишинговой атаки и определить «потенциальных жертв».
Альтернативы (жёлтые)
  • Сканирование GitLab/Bitbucket/Jira: поиск описания проектов, имена ответственных людей, докладные и issue с конфиденциальными деталями.
  • Социальная инженерия внутри организации: вызвать доверие у сотрудников (HR, техподдержки) и получить сведения об ИТ-инфраструктуре.
  • Определение цепочки поставок: изучить IT аутсорс, поставщиков, Managed Service Providers (MSP), чтобы, например, атаковать слабое звено в цепочке.
2

Weaponization & Infrastructure

Подготовка инфраструктуры

После сбора первичных данных Charming Kitten начинает создавать зловредную инфраструктуру: серверы, домены, инструменты для доставки малвари.

Основной сценарий
  • Регистрация фейковых доменов, схожих с официальными ресурсами (министерствами, медиа), либо использование уже взломанных сайтов.
  • Настройка HTTPS-сертификатов для придания легитимного вида (важно для фишинга).
  • Создание фейковых почтовых аккаунтов, профилей в мессенджерах или соцсетях под видом «официальных лиц».
Эта подготовка делает будущий фишинг убедительным: жертвы видят знакомый бренд, HTTPS, и меньше подозрений.
Альтернативные сценарии
  • Регистрация C2 серверов за криптовалюту, аренда VPS, прокси-Tor цепочек. Высокая анонимность, быстрая смена IP.
  • Комплекс «hop-points»: через скомпрометированные узлы в США, Европе, Азии, плюс DNS-туннели для эксфильтрации.
  • Зеркальные домены для IT-вендоров, чтобы изображать техподдержку, и «watering hole»-атаки (заражение сайтов, посещаемых разработчиками).
3

Social Engineering Preparation

Подготовка социальной инженерии

Теперь, когда инфраструктура готова, злоумышленники разрабатывают сценарии обмана: фишинговые письма, мессенджер-сообщения, веб-страницы.

Основной сценарий
  • Создание персонализированных писем (ссылка, вложение), тщательно «имитирующих» стиль известного ведомства или знакомых жертве людей.
  • Использование украденных ранее документов для убедительности.
Социальная инженерия — основной двигатель успеха Charming Kitten, ведь без «клика» жертвы их наступательные методы сильно усложняются.
Альтернативные сценарии
  • Имитация госучреждений (МИД, НАТО): официальные приглашения на конференции, форумы по безопасности.
  • Spear phishing с «подлинными» документами (ранее украденными) — приказы, доклады.
  • B2B фишинг: письма «от поставщика» о срочном обновлении ПО.
4

Initial Contact

Первичный контакт

Здесь фишинговый контент напрямую доходит до жертвы: письмо, соцсеть, мессенджер.

Основной сценарий
  • Рассылка тщательно сформированных писем: «приглашение на конференцию», «внутренняя документация», «у вас проблема с безопасностью аккаунта».
  • Продолжение общения в WhatsApp/Telegram для поддержания легенды.
Цель — заставить жертву кликнуть, открыть файл или продолжить диалог.
Альтернативные сценарии
  • «Phishing forwarders»: письмо внутри компании, якобы пересланное коллегой. Выглядит правдоподобно.
  • 0-day-уязвимости в Outlook/Word. Если защита против макросов хорошо настроена, злоумышленники могут пробовать новые эксплойты.
  • Supply chain: взлом разработчиков ПО и внедрение малвари в обновления.
  • LinkedIn-«HR»: предложение о работе с загрузкой бэкдора.
5

Delivery

Доставка

Теперь наступает момент попытки доставки вредоносного кода либо кражи данных с поддельного сайта.

Основной сценарий
  • Злоумышленники рассылают ссылку на фальшивую страницу логина или документ с макросом/эксплойтом.
  • При открытии документа — установка малвари; при переходе на страницу — кража паролей.
На практике это классический фишинг, часто дополняемый шаблоном, который мимикрирует под Office 365 или корпоративный портал.
Альтернативные сценарии
  • HTML Smuggling: вредоносный скрипт «запакован» в HTML и загружается в память без антивирусных триггеров.
  • Zip-архивы со встроенным exe, подписанным неким «драйвером».
  • Исполняемые файлы, замаскированные под обновления ПО (с украденными сертификатами).
6

Initial Access

Первоначальный доступ

Здесь Charming Kitten, наконец, получает вход в систему жертвы: от кражи паролей до запуска first-stage малвари.

Основной сценарий
  • Пользователь вводит логин/пароль на поддельной странице; злоумышленник получает учетку.
  • Жертва открывает malicious doc, запускает макрос → система скомпрометирована.
  • Успешная эксплуатация уязвимостей в сервисах на внешнем периметре.
Это ключевой момент — Charming Kitten закрепляется либо за счёт захваченных паролей, либо управляя малварью.
Альтернативы (жёлтые)
  • Password Spray.
  • Использование информации из утечек.
  • MFA атака — заспамить push-уведомлениями, пока пользователь случайно не согласится.
7

Persistence

Закрепление

Нужно обеспечить непрерывный доступ к системе.

Основной сценарий
  • Долговременные веб-шеллы (т. е. PHP, ASPX) на серверах, новые учетные записи с административными правами.
  • Использование VPN или украденных MFA ключей.
Веб-шеллы и использование VPN одни из частых способов закрепления для APT-42.
Альтернативные сценарии
  • Registry Run Keys / Scheduled Tasks — автозапуск при перезагрузке.
  • COM Hijacking — незаметно прописать зловредный DLL в InprocServer32.
  • Office Add-ins — надстройки, запускающиеся при старте Word/Outlook.
  • DLL Sideloading с известными EXE (Adobe, Microsoft).
  • WMI Event Subscriptions — код вызывается при определённых событиях системы.
8

Personal Email & Social Media Pivot

Перенос атаки на личные аккаунты

Имея учётку жертвы, они могут использовать ее личные ресурсы (почта, соцсети), где хранится полезная информация.

Основной сценарий
  • Взламывают личные (нерабочие) почты Gmail/ProtonMail, соцсети (LinkedIn/Facebook).
  • Рассылают там фишинг знакомым жертвы для расширения сети компрометации.
Иногда именно в личных ящиках пользователи хранят важные сведения (пароли, конфиденциальные письма).
Альтернативные сценарии
  • Discord/Steam (в игровой индустрии).
  • Криптокошельки (MetaMask, MyEtherWallet) для хищения средств.
  • Подмена исходного кода в репозиториях GitHub/Bitbucket (для supply chain внутри организации).
  • DevOps инструменты (Jenkins, TeamCity) — внедрение в pipeline.
9

Internal Reconnaissance

Внутренняя разведка

Злоумышленники, попав в корпоративную сеть, ищут, где лежат ценные данные.

Основной сценарий
  • Изучают SharePoint, общие папки, адресные книги.
Ищут информацию об архитектуре системы (кто за что отвечает, где лежат интересные документы).
Альтернативные сценарии
  • Запуск PowerShell-сканеров (Port-скан, SMB-скан).
  • Nmap/Masscan на внутренней сети.
  • BloodHound для анализа путей эскалации в AD.
  • Чтение Wiki/Confluence (часто описывает VPN, сети, внутренние приложения).
10

Credential Access

Компрометация учетных данных

Группировка концентрируется на тихих методах получение учетных данных пользователей. Помимо целевого фишинга, используются техники медленного спрея, использования кейлоггеров и т.д.

Основной сценарий
  • Медленный Password Spraying.
  • Keylogging. В легитимные процессы внедряется powershell.
  • Изредка дамп процесса LSASS.
Получение учетных играет важную роль в развитии атаки. Использование валидных доменных креденций открывает путь ко множеству потенциальных векторов компрометации всего домена.
Альтернативные сценарии
  • Кража паролей из браузеров.
  • Получение доступа к Windows Credential Manager.
  • Локальный доступ к SAM и LSA.
11

Lateral Movement

Горизонтальное перемещение

Когда ясна карта сети, Charming Kitten идёт дальше — на критические сервисы, серверы.

Основной сценарий
  • Используют логины/пароли (или токены), пытаются повысить привилегии в AD, ищут устаревшие узлы.
Используют довольно стандартные тактики.
Альтернативные сценарии
  • Pass-the-Hash/Pass-the-Ticket (при наличии NTLM-хэшей/кешированных Kerberos-билетов).
  • Логин на VPN, Citrix, порталы.
  • WMI, PsExec, Impacket, RDP/WinRM для скрытного перемещения.
12

Privilege Escalation

Эскалация привилегий

На этом этапе цель — стать локальным (или доменным) администратором, получить максимальные права.

Основной сценарий
  • Эксплуатировать устаревшие версии Windows, либо какие-то локальные уязвимости (патчи не поставлены).
Стараются эксплуатировать устаревшие сервисы.
Альтернативные сценарии
  • Мисконфигурации в AD CS, релей-атаки, неправильные GPO, SCCM.
  • Уязвимый Domain Controller (Zerologon, Net-NTLMv1).
  • Слабая доменная политика, Kerberoasting, AsRepRoasting и т. д.
13

Collection & Intelligence

Сбор данных

Теперь, обладая высокими привилегиями, Charming Kitten массово собирает документы, переписки, технические и финансовые сведения.

Основной сценарий
  • Основная цель — получить доступ к нужной информации: почтовые архивы, документы, контакты, планы мероприятий.
В зависимости от сектора (государственного, финансового, IT, оборонного), объём и тип искомых данных различается, а также способы их агрегировать.
Альтернативные сценарии
  • В игровых компаниях — добавление бэкдоров в игру, сбор пользовательских данных.
  • В госучреждении — формирование досье на ключевых лиц.
  • В финсекторе — банковские операции, SWIFT, криптокошельки.
  • В промышленности/оборонке — чертежи и исследования.
14

Data Exfiltration

Вывод данных

Собранные данные нужно безопасно вынести, не вызвав подозрений.

Основной сценарий
  • Архивация собранных данных перед выводом из атакуемой сети.
  • Загрузка через C2-серверы, облачные хранилища, маскируясь под обычный HTTPS.
Выводят через облачные хранилища.
Альтернативные сценарии
  • SFTP/FTPS с шифрованием на контролируемые сервера, Google Drive, OneDrive.
  • Стеганография — внедрение файлов в картинки.
  • Дробление больших архивов на небольшие части, рассеивание во временных AWS S3 бакетах.
15

Defense Evasion

Уклонение от обнаружения

Даже если у них всё получилось, они хотят скрыть следы, подменить логи, чтобы дольше удерживаться незаметно.

Основной сценарий
  • Очистка логов, отключение журналирования.
Удаление логов – основной вариант действий.
Альтернативные сценарии
  • Полное удаление/подмена логов (EventViewer, Exchange).
  • Подпись вредоносных файлов украденными цифровыми сертификатами.
  • BYOVD (подписанный уязвимый драйвер) для отключения антивируса.
  • Fileless (Reflective DLL Injection, PowerShell в памяти, WMI).
  • LOLBAS: злоупотребление системными утилитами (regsvr32, rundll32, msbuild, bitsadmin).
16

Long Term Persistence

Долговременное присутствие

Когда цель достигнута (шпионаж, кража данных), Charming Kitten стремится сохранить запасной доступ для будущих операций.

Основной сценарий
  • Резервные домены C2, скрытые учётные записи, автоперенаправление почты, чтобы годами следить за жертвой.
Отсутствие непрерывного присутствия лишает APT ценного ресурса — поэтому они создают множественные бэкдоры для доступа.
Альтернативные сценарии
  • Backup бэкдоры в виде DLL в системных папках, отключение MFA или резервные ключи.
  • Golden SAML - если злоумышленники имеют доступ к ADFS, подделывают SAML-токены.
  • Получение доступа к aes-ключам учетных записей KRBTGT и машинных аккаунтов для крафтинга diamond и silver тикетов.
  • Регулярная ротация C2 (скрипты, автоматически перекидывающие канал на новые IP).
  • Создание или изменение учетных записей для VPN доступа.

Заключение

Каждый из 16 шагов отражает основную траекторию атаки Charming Kitten, но мы также рассмотрели альтернативные варианты. Такая гибкость делает любую группировку особенно опасной: даже если компания закрыла одну уязвимость, APT может воспользоваться другим сценарием. Поэтому важно непрерывно прокачивать ИБ-команду на онлайн-полигонах, чтобы быть готовыми к отражению атак в повседневной работе.

Полезные выводы для защиты:

Таким образом, представленная схема шагов Charming Kitten, дополненная альтернативными сценариями, показывает, насколько разнообразны тактики злоумышленников и почему так сложно защититься от всех возможных векторов сразу. Однако отработка различных сценариев помогает выстраивать эффективную защиту и минимизировать риски на каждом этапе.