Аналитики Центра кибербезопасности компании F6 представили результаты исследования атаки на российскую производственную компанию, которая была обнаружена и локализована в конце февраля 2026 года в рамках предоставления сервиса SOC MDR. На фоне участившихся атак группировок из Азии на компании в России этот инцидент – пример того, как злоумышленники применяют продвинутые техники в сочетании с собственными инструментами для обхода современных средств защиты.
В исследуемой атаке в качестве вектора первоначального доступа злоумышленники использовали сервисную учетную запись подрядной организации, применяемую для доступа во внутреннюю сеть организации через Check Point VPN. После получения первоначального доступа злоумышленники приступили к разведке скомпрометированных узлов и доменной среды, используя штатные утилиты операционной системы Windows. Получив сетевой доступ, атакующие осуществили подключение по RDP-протоколу к внутренним системам.
Проанализировав телеметрию от агентов EDR, аналитики ЦК F6 установили, что вредоносное ПО было загружено на устройства в рамках активной RDP-сессии. После успешной загрузки вредоносного кода атакующие предпринимают меры по сокрытию своей активности.
Для перемещения на смежные устройства злоумышленники применяли механизм удаленного создания служб с использованием штатной утилиты sc.exe, что позволило инициировать запуск полезной нагрузки на удаленных узлах. Для закрепления на конечных устройствах злоумышленники использовали запланированные задачи, службы и автозагрузку Windows.
Анализ TTPs и образцов вредоносного ПО свидетельствует о том, что злоумышленники использовали бэкдор ShadowPad, активно применяемый китайскими APT-группами. Исследователи F6 выяснили, что в публичные песочницы за период с февраля по март 2026 года были загружены аналогичные образцы загрузчиков из Бразилии, Хорватии и Румынии, что позволяет предположить – похожие атаки были направлены на компании в этих странах. Загрузчик, который использовался в исследуемой специалистами F6 атаке, был загружен из Хорватии и Греции.
На основании имеющихся данных исследователи F6 пришли к выводу, что однозначно отнести данную кампанию к конкретной APT‑группе невозможно. При этом бэкдор ShadowPad используется несколькими китайскими APT‑операторами, что ограничивает круг потенциальных групп. Наблюдаются пересечения с группами APT41, Teleboyi, Earth Alux и APT15, однако текущие индикаторы не позволили точно установить группу атакующих.
«Китайские группировки по-прежнему представляют собой серьезную угрозу для организаций. Применение продвинутых техник в сочетании с инструментами собственной разработки, позволяет обходить даже продвинутые средства защиты и оставаться незамеченными в течение длительного периода», – отмечают авторы исследования.
Подробности исследования атаки, индикаторы компрометации – в новом блоге на сайте F6.
Источник: F6
