Европейская телекоммуникационная организация, как сообщается, стала мишенью кибершпионской группы, известной как Salt Typhoon, предположительно из Китая.
По данным Darktrace, организация была атакована в первую неделю июля 2025 года, когда злоумышленники использовали уязвимость в устройстве Citrix NetScaler Gateway для получения начального доступа.
Salt Typhoon, также известная как Earth Estries, FamousSparrow, GhostEmperor и UNC5807, является названием "advanced persistent threat" (APT)-группы, связанной с Китаем. Группа, активная с 2019 года, стало известной в прошлом году после атак на поставщиков телекоммуникационных услуг, энергетические сети и государственные системы в США.
Данная группа имеет опыт эксплуатации уязвимостей в устройствах сети и эксфильтрации данных из жертв в более чем 80 странах Северной Америки, Европы, Ближнего Востока и Африки.
В инциденте с телекоммуникационным оператором злоумышленники использовали захваченный доступ для того, чтобы перейти к хостам Citrix Virtual Delivery Agent (VDA) в подсети Machine Creation Services (MCS) клиента, при этом использовав SoftEther VPN для сокрытия своих следов.
Одной из семейств вредоносных программ, использованных в атаке, является Snappybee (также известное как Deed RAT), предполагаемый преемник вредоносной программы ShadowPad (также известной как PoisonPlug), использовавшейся в предыдущих атаках Salt Typhoon. Вредоносная программа запускается с помощью техники, называемой DLL side-loading, которая была использована рядом китайских хакерских групп за последние годы.
«Бэкдор был доставлен на эти внутренние конечные устройства как DLL вместе с легитимными исполнимыми файлами антивирусных программ, таких как Norton Antivirus, Bkav Antivirus и IObit Malware Fighter», — сообщает Darktrace. «Этот паттерн активности указывает на то, что атакующий использовал DLL side-loading через легитимное антивирусное ПО для выполнения своих payload.»
Вредоносная программа предназначена для контакта с внешним сервером ("aar.gandhibludtric[.]com") через HTTP и неопознанный TCP-протокол. Darktrace сообщила, что активность вторжения была выявлена и устранена до того, как она смогла бы производить дальнейшие действие в сети.
«Salt Typhoon продолжает представлять угрозу защитникам благодаря своей скрытности, настойчивости и использованию легитимных инструментов», — добавила компания. «Эволюция методов работы Salt Typhoon и способность использовать доверенные программы и инфраструктуру гарантируют, что обнаружить группу будет все сложнее только с помощью традиционных методов.»
- Источник: https://thehackernews.com/2025/10/hackers-used-snappybee-malware-and.html
По данным Darktrace, организация была атакована в первую неделю июля 2025 года, когда злоумышленники использовали уязвимость в устройстве Citrix NetScaler Gateway для получения начального доступа.
Salt Typhoon, также известная как Earth Estries, FamousSparrow, GhostEmperor и UNC5807, является названием "advanced persistent threat" (APT)-группы, связанной с Китаем. Группа, активная с 2019 года, стало известной в прошлом году после атак на поставщиков телекоммуникационных услуг, энергетические сети и государственные системы в США.
Данная группа имеет опыт эксплуатации уязвимостей в устройствах сети и эксфильтрации данных из жертв в более чем 80 странах Северной Америки, Европы, Ближнего Востока и Африки.
В инциденте с телекоммуникационным оператором злоумышленники использовали захваченный доступ для того, чтобы перейти к хостам Citrix Virtual Delivery Agent (VDA) в подсети Machine Creation Services (MCS) клиента, при этом использовав SoftEther VPN для сокрытия своих следов.
Одной из семейств вредоносных программ, использованных в атаке, является Snappybee (также известное как Deed RAT), предполагаемый преемник вредоносной программы ShadowPad (также известной как PoisonPlug), использовавшейся в предыдущих атаках Salt Typhoon. Вредоносная программа запускается с помощью техники, называемой DLL side-loading, которая была использована рядом китайских хакерских групп за последние годы.
«Бэкдор был доставлен на эти внутренние конечные устройства как DLL вместе с легитимными исполнимыми файлами антивирусных программ, таких как Norton Antivirus, Bkav Antivirus и IObit Malware Fighter», — сообщает Darktrace. «Этот паттерн активности указывает на то, что атакующий использовал DLL side-loading через легитимное антивирусное ПО для выполнения своих payload.»
Вредоносная программа предназначена для контакта с внешним сервером ("aar.gandhibludtric[.]com") через HTTP и неопознанный TCP-протокол. Darktrace сообщила, что активность вторжения была выявлена и устранена до того, как она смогла бы производить дальнейшие действие в сети.
«Salt Typhoon продолжает представлять угрозу защитникам благодаря своей скрытности, настойчивости и использованию легитимных инструментов», — добавила компания. «Эволюция методов работы Salt Typhoon и способность использовать доверенные программы и инфраструктуру гарантируют, что обнаружить группу будет все сложнее только с помощью традиционных методов.»
- Источник: https://thehackernews.com/2025/10/hackers-used-snappybee-malware-and.html