GitLab, блокчейн, искусственный интеллект — кто следующий?
В декабре 2024 года была обнаружена масштабная атака на CSDN и другие крупные интернет-ресурсы. Хакерская группа, стоящая за этим инцидентом, получила кодовое название UTG-Q-015. После публикации материалов о первых нападках преступники кардинально изменили свою тактику и стали активно использовать и N-day для вторжения на правительственные и корпоративные веб-сайты.
В марте UTG-Q-015 развернула группу сканирующих узлов для проведения брутфорс-атак против государственных и коммерческих целей. К апрелю исследователи зафиксировали масштабную кампанию по внедрению вредоносного кода на , серверы цифровых подписей, биткоин-бэкенды и системы . Атаки затронули множество правительственных и корпоративных клиентов. Параллельно преступники проникали в финансовые учреждения через фишинговые сообщения в мессенджерах и устанавливали обратные соединения с внутренними веб-адресами для загрузки трёхэтапных полезных нагрузок.
Важно понимать, что китайскоязычные хакеры распространены по всей Восточной и Юго-Восточной Азии. Среди них, например, есть восточноазиатские аутсорсинговые игроки, такие как Operation EviLoong и Operation Giant, которые проводят шпионскую деятельность высокого уровня в собственных интересах.
Существуют также профессиональные команды вроде UTG-Q-015, базирующиеся в Юго-Восточной Азии и предоставляющие услуги по проникновению и сбору разведданных местным компаниям и организациям. Эти два типа несовместимы между собой и даже нередко нацеливаются друг на друга. Именно поэтому UTG-Q-015 в прошлом году вторглась на несколько отечественных программистских форумов - целью было нанесение ответного удара и месть. На поверхности это выглядит как "аутсорсинговая война", но на более глубоком уровне представляет конфликт между идеологиями и политическими позициями.
Эксперты рекомендуют правительственным и корпоративным клиентам активировать облачную проверку для обнаружения неизвестных угроз. В настоящее время продукт ASRock способен выявлять и уничтожать вредоносные инструменты группы UTG-Q-015, но в современном мире хакерские стратегии довольно просто модифицировать.
Основываясь на данных Xlab, UTG-Q-015 активировала новую партию сканирующих узлов в марте для атак на публично доступные веб-серверы правительственных и коммерческих организаций. После успешного взлома и развёртывания бэкдора Cobalt Strike хакеры модифицировали nps-туннель и использовали fscan для попыток бокового перемещения с применением взломанных паролей. К апрелю эта партия начала эксплуатировать уязвимости N-day, включая CVE-2021-38647, CVE-2017-12611 и CVE-2017-9805.
В апреле система защиты SkyRock "Liuhe" вычислила, что жертвы загружали полезные нагрузки с конкретных адресов: hxxps://updategoogls.cc/tools.exe и hxxps://safe-controls.oss-cn-hongkong.aliyuncs.com/res/tools.zip. Расследование показало рефереры: - WEB3-сайт разработки, и - реальный IP, соответствующий блокчейн-проекту biodao.finance.
По данным глобального картографирования, более ста веб-сайтов подверглись вторжению и заражению (скриншот от исследователей - ниже). Типы скомпрометированных ресурсов включают главные страницы web3-сайтов, страницы входа в биткоин-бэкенды, серверы управления электронными подписями и страницы входа в GitLab.
Когда жертва посещала заражённую страницу, система отображала фишинговое уведомление, побуждающее загрузить файл обновления.
UTG-Q-015 использует новый набор облегчённых .NET-бэкдоров с возможностями выполнения команд. Последующие полезные нагрузки соответствуют предыдущим активностям группы.
При проведении целевых атак против финансовых учреждений в апреле UTG-Q-015 сначала использовала неизвестные веб-уязвимости для вторжения на пограничные серверы целевых организаций в качестве плацдарма для загрузчика. Затем через мессенджеры злоумышленники отправляли сотрудникам целевых учреждений приманки в виде документов с названиями вроде "конфиденциальный XXXX.exe". Загрузчик в памяти содержал доменное имя публичной сети и внутренний IP-адрес пограничного веб-сервера той же организации, ранее скомпрометированного для получения полезной нагрузки третьего этапа.
UTG-Q-015 обычно задействует бэкдоры Xnote, Ghost, Vshell и другие для контроля целевых Linux-серверов. Цели в 2025 году в основном сосредоточены в области искусственного интеллекта. В феврале была использована неавторизованного доступа плагина ComfyUI-Manager для отправки вредоносного файла модели, который в итоге загрузил Vshell. Государственным учреждениям сейчас особенно рекомендуется никогда не открывать компонент ComfyUI в публичную сеть, поскольку наблюдались случаи использования зарубежными неизвестных уязвимостей ComfyUI для шпионской деятельности.
В апреле была использована уязвимость CVE-2023-48022 для взлома отечественных исследовательских серверов, связанных с нейросетями. После получения обратной оболочки выполнялись bash-скрипты и плагины того же происхождения, что и выше, в конечном итоге загружающие Vshell.
Подробнее:
В декабре 2024 года была обнаружена масштабная атака на CSDN и другие крупные интернет-ресурсы. Хакерская группа, стоящая за этим инцидентом, получила кодовое название UTG-Q-015. После публикации материалов о первых нападках преступники кардинально изменили свою тактику и стали активно использовать и N-day для вторжения на правительственные и корпоративные веб-сайты.
В марте UTG-Q-015 развернула группу сканирующих узлов для проведения брутфорс-атак против государственных и коммерческих целей. К апрелю исследователи зафиксировали масштабную кампанию по внедрению вредоносного кода на , серверы цифровых подписей, биткоин-бэкенды и системы . Атаки затронули множество правительственных и корпоративных клиентов. Параллельно преступники проникали в финансовые учреждения через фишинговые сообщения в мессенджерах и устанавливали обратные соединения с внутренними веб-адресами для загрузки трёхэтапных полезных нагрузок.
Важно понимать, что китайскоязычные хакеры распространены по всей Восточной и Юго-Восточной Азии. Среди них, например, есть восточноазиатские аутсорсинговые игроки, такие как Operation EviLoong и Operation Giant, которые проводят шпионскую деятельность высокого уровня в собственных интересах.
Существуют также профессиональные команды вроде UTG-Q-015, базирующиеся в Юго-Восточной Азии и предоставляющие услуги по проникновению и сбору разведданных местным компаниям и организациям. Эти два типа несовместимы между собой и даже нередко нацеливаются друг на друга. Именно поэтому UTG-Q-015 в прошлом году вторглась на несколько отечественных программистских форумов - целью было нанесение ответного удара и месть. На поверхности это выглядит как "аутсорсинговая война", но на более глубоком уровне представляет конфликт между идеологиями и политическими позициями.
Эксперты рекомендуют правительственным и корпоративным клиентам активировать облачную проверку для обнаружения неизвестных угроз. В настоящее время продукт ASRock способен выявлять и уничтожать вредоносные инструменты группы UTG-Q-015, но в современном мире хакерские стратегии довольно просто модифицировать.
Основываясь на данных Xlab, UTG-Q-015 активировала новую партию сканирующих узлов в марте для атак на публично доступные веб-серверы правительственных и коммерческих организаций. После успешного взлома и развёртывания бэкдора Cobalt Strike хакеры модифицировали nps-туннель и использовали fscan для попыток бокового перемещения с применением взломанных паролей. К апрелю эта партия начала эксплуатировать уязвимости N-day, включая CVE-2021-38647, CVE-2017-12611 и CVE-2017-9805.
В апреле система защиты SkyRock "Liuhe" вычислила, что жертвы загружали полезные нагрузки с конкретных адресов: hxxps://updategoogls.cc/tools.exe и hxxps://safe-controls.oss-cn-hongkong.aliyuncs.com/res/tools.zip. Расследование показало рефереры: - WEB3-сайт разработки, и - реальный IP, соответствующий блокчейн-проекту biodao.finance.
По данным глобального картографирования, более ста веб-сайтов подверглись вторжению и заражению (скриншот от исследователей - ниже). Типы скомпрометированных ресурсов включают главные страницы web3-сайтов, страницы входа в биткоин-бэкенды, серверы управления электронными подписями и страницы входа в GitLab.
Когда жертва посещала заражённую страницу, система отображала фишинговое уведомление, побуждающее загрузить файл обновления.
UTG-Q-015 использует новый набор облегчённых .NET-бэкдоров с возможностями выполнения команд. Последующие полезные нагрузки соответствуют предыдущим активностям группы.
При проведении целевых атак против финансовых учреждений в апреле UTG-Q-015 сначала использовала неизвестные веб-уязвимости для вторжения на пограничные серверы целевых организаций в качестве плацдарма для загрузчика. Затем через мессенджеры злоумышленники отправляли сотрудникам целевых учреждений приманки в виде документов с названиями вроде "конфиденциальный XXXX.exe". Загрузчик в памяти содержал доменное имя публичной сети и внутренний IP-адрес пограничного веб-сервера той же организации, ранее скомпрометированного для получения полезной нагрузки третьего этапа.
UTG-Q-015 обычно задействует бэкдоры Xnote, Ghost, Vshell и другие для контроля целевых Linux-серверов. Цели в 2025 году в основном сосредоточены в области искусственного интеллекта. В феврале была использована неавторизованного доступа плагина ComfyUI-Manager для отправки вредоносного файла модели, который в итоге загрузил Vshell. Государственным учреждениям сейчас особенно рекомендуется никогда не открывать компонент ComfyUI в публичную сеть, поскольку наблюдались случаи использования зарубежными неизвестных уязвимостей ComfyUI для шпионской деятельности.
В апреле была использована уязвимость CVE-2023-48022 для взлома отечественных исследовательских серверов, связанных с нейросетями. После получения обратной оболочки выполнялись bash-скрипты и плагины того же происхождения, что и выше, в конечном итоге загружающие Vshell.
Подробнее:
