Хакеры из APT31 два года атаковали российский ИТ-сектор

Российский ИТ-сектор стал жертвой масштабной кампании хакерской группировки APT31, которая велась с 2024 по 2025 год. Целью кибератак стали подрядчики, интеграторы решений для госорганов и компании, занятые в обслуживании критической инфраструктуры.

APT31 аккуратно обходила все системные детекторы, а инструменты маскировала под обычный набор администратора (tooset), отметили в своём расследовании кибербез-специалисты Positive Technologies. Для проникновения в организации использовался классический фишинг с архивами и LNK-файлами. Эти файлы запускали загрузчик CloudyLoader, который грузил инструмент для контроля над сетями CobaltStrike. Архивы, рассылаемые жертвам, отличались разнообразием и проработкой, включая подделки документов, например отчётов МИДа Перу.

Внутреннюю разведку обеспечивали SharpChrome для паролей из браузеров, StickyNotesExtract для заметок, а также PowerShell-скрипты для подписей RDP-сессий. Сканирование сети проводилось через Advanced IP Scanner. Закреплялись хакеры через Windows Task Scheduler, а сами задачи получали имена обычных стандартных пользовательских приложений, например, GoogleUpdater, YandexDisk. Также создавались скрытые задачи, удалявшие подписи и XML-задачи. Злоумышленники туннелировали трафик через Tailscale VPN и Microsoft dev tunnels, маскируя поток под обычный HTTPS к доменам Microsoft. Этот вариант обхода отвечает за непрерывность доступа и закрытость коммуникаций. Внутри сети злоумышленники работали через создание своих админских учёток, а затем использовали хакерские tooset'ы Impacket, Mimikatz и Pass-The-Hash для перемещений. Исследователи восстановили порядок действий благодаря одному из основных бэкдоров АPT31 — кейлогеру LocalPlugx. Он собирал ввод с клавиатуры и содержимое буфера обмена, что позволило увидеть подготовленные сценарии атак.

Также в арсенале хакерской группировки выявлен ряд таких инструментов, как:

● AufTime — Linux-бэкдор с TLS через WolfSSL, умеет маскироваться под системные процессы;

● COFFProxy — мультиплатформенный бэкдор с расширенной конфигурацией и вариантами на Windows и GoLang;

● VtChatter — хитроумный инструмент, который командует через комментарии VirusTotal, обновляясь каждые два часа;

● CloudyLoader — DLL sideloading с загрузкой CobaltStrike;

● OneDriveDoor и YaLeak — инструменты, которые используют облака OneDrive и «Яндекс Диск» для обмена командами и утечки данных.

По данным исследователей, хакеры из группировки быстро и тихо собирают ценные данные, месяцами оставаясь незамеченными в инфраструктурах жертв. APT31 посетила почти половину компаний ИТ-отрасли. В связи с обнаружением вредоносной кампании хакерской группировки кибербез-специалисты рекомендуют усилить контроль в инфраструктуре, провести сегментации в корпоративных сетях и проанализировать облачный трафик организаций.