Analitycy z zespołu Unit 42 ujawnili wieloletnią kampanię cyberataków wymierzoną w organizacje o wysokiej wartości strategicznej. Operacja została przypisana do nieznanej wcześniej grupy, określanej jako CL-UNK-1068, która od co najmniej 2020 roku infiltruje instytucje z sektora infrastruktury krytycznej w Azji.
Ataki obejmowały organizacje działające w branżach takich jak:
- lotnictwo,
- energetyka,
- administracja rządowa,
- organy ścigania,
- farmacja,
- technologie i telekomunikacja.
Według analityków motywem działań jest przede wszystkim cyberszpiegostwo, choć nie można całkowicie wykluczyć elementów działalności cyberprzestępczej, jak np. korzyści finansowe. CL-UNK-1068 pozostawała niezidentyfikowana przez długi czas, prowadząc działania w sposób bardzo dyskretny. Badacze wskazują, iż grupa korzysta z szerokiego zestawu narzędzi – zarówno własnego malware, jak i popularnych narzędzi open source oraz tzw. LOLBinów (Living-Off-the-Land Binaries), czyli legalnych narzędzi systemowych wykorzystywanych w złośliwy sposób.
Jak przebiega atak
Ataki zwykle zaczynają się od kompromitacji serwera internetowego, często poprzez wstrzyknięcie web-shella umożliwiającego zdalne wykonywanie poleceń. Wśród wykorzystywanych narzędzi pojawiają się m.in.:
- GodZilla i AntSword – popularne web-shelle,
- Fast Reverse Proxy (FRP) – tunelowanie ruchu i utrzymanie dostępu,
- ScanPortPlus – niestandardowy skaner sieci napisany w Go,
- Xnote – backdoor dla systemów Linux.
Po uzyskaniu dostępu do serwera napastnicy rozpoczynają rozpoznanie środowiska, zbierając informacje o systemie i sieci. W tym celu wykorzystują własne narzędzia, np. skaner SuperDump oraz zestaw skryptów automatyzujących analizę hosta.
Jednym z głównych celów operacji jest zdobycie danych uwierzytelniających i wrażliwych informacji organizacyjnych. Do tego celu grupa wykorzystuje m.in.:
- Mimikatz – do wyciągania haseł z pamięci systemu,
- narzędzia analizujące pamięć, takie jak Volatility,
- mechanizmy przechwytujące dane logowania w systemie Windows.
Atakujący zbierają również pliki konfiguracyjne aplikacji, historię przeglądarek, pliki CSV i XLSX oraz kopie zapasowe baz danych SQL.
Jedną z ciekawszych technik stosowanych przez CL-UNK-1068 jest sposób wyprowadzania danych z systemów ofiar. Zamiast przesyłać pliki bezpośrednio z serwera, napastnicy:
- archiwizują dane przy pomocy WinRAR,
- kodują archiwum w Base64 przy użyciu polecenia certutil,
- wyświetlają zakodowany tekst bezpośrednio w konsoli web-shella.
Dzięki temu dane mogą zostać skopiowane z ekranu bez wykonywania klasycznego transferu plików, co znacząco utrudnia wykrycie eksfiltracji przez systemy bezpieczeństwa.
CL-UNK-1068 wykorzystuje narzędzia działające zarówno w środowiskach Windows, jak i Linux, co pokazuje wysoki poziom elastyczności operacyjnej grupy.
W wielu przypadkach wykorzystywano również technikę DLL side-loading, w której legalne pliki wykonywalne (np. python.exe) są używane do uruchamiania złośliwych bibliotek DLL.
Podsumowanie
Kampania CL-UNK-1068 pokazuje, jak skuteczne mogą być operacje prowadzone w długim horyzoncie czasowym i z wykorzystaniem legalnych narzędzi systemowych.
Organizacje powinny szczególnie monitorować:
- nietypowe użycie interpreterów i narzędzi systemowych,
- instalację web-shelli na serwerach,
- nieautoryzowane tunelowanie ruchu sieciowego,
- podejrzane operacje na plikach konfiguracyjnych i bazach danych.
Dodatkowo ważne jest stosowanie monitoringu behawioralnego, który pozwala wykrywać anomalie, zamiast polegać wyłącznie na sygnaturach malware.
Operacja CL-UNK-1068 udowadnia, iż nowoczesne kampanie cyberszpiegowskie są często prowadzone przez lata, zanim zostaną wykryte.
Grupa wykorzystuje mieszankę własnych narzędzi, projektów open source oraz legalnych komponentów systemowych, aby utrzymywać długotrwały dostęp do sieci organizacji i pozyskiwać wrażliwe dane.
Dla zespołów bezpieczeństwa to kolejny dowód, iż skuteczna obrona wymaga nie tylko ochrony przed malware, ale także ciągłej analizy zachowania systemów i użytkowników w infrastrukturze.
