Mastodon Mastodon Mastodon Mastodon

Новый бэкдор TinyRCT применяется в кампании против госструктур и критической инфраструктуры Юго-Восточной Азии

Фото автора

CyberSecureFox Editorial Team

Опубликовано:

Исследователи Palo Alto Networks Unit 42 связали кластер вторжений, отслеживаемый как CL-STA-1062, с ранее незадокументированным бэкдором TinyRCT. По данным отчёта, группировка, предположительно китайскоязычная, атакует государственные учреждения, госпредприятия энергетического сектора и объекты критической инфраструктуры в Юго-Восточной Азии. В период с октября по декабрь 2025 года, как сообщается, были скомпрометированы не менее 10 организаций в регионе. Организациям государственного и энергетического секторов Юго-Восточной Азии рекомендуется проверить свои системы на наличие опубликованных индикаторов компрометации и усилить мониторинг веб-серверов.

Профиль группировки и хронология кампании

По данным Unit 42, активность CL-STA-1062 прослеживается как минимум с марта 2022 года — ранние операции были направлены против стратегических секторов Восточной Азии. С середины 2025 года фокус сместился на критическую инфраструктуру Юго-Восточной Азии. В сентябре 2025 года, как сообщается, группировка проникла в государственное учреждение одной из стран региона, развернула веб-оболочку и эксфильтровала данные из сервера MS SQL. Параллельно проводилась сетевая разведка в отношении другого государственного учреждения той же страны, что указывает на подготовку к горизонтальному перемещению. В одном из случаев атакующие, по данным исследователей, извлекли целый каталог исходного кода веб-сервера.

Важно отметить: атрибуция и данные о масштабе кампании основаны на единственном исследовательском отчёте и не подтверждены независимыми источниками или пострадавшими организациями.

Технический анализ TinyRCT

TinyRCT — это легковесный троян удалённого доступа, написанный на платформе .NET и распространяемый под именем файла PerfWatson2.exe. По результатам анализа Unit 42, бэкдор обладает следующими возможностями:

  • Выполнение произвольных команд на скомпрометированном хосте
  • Перечисление и эксфильтрация файлов
  • Захват снимков экрана
  • Удалённое управление системой
  • Самоудаление для сокрытия следов
  • Обнаружение и обход песочниц

Сетевое взаимодействие

TinyRCT устанавливает постоянный канал связи с командным сервером по протоколу HTTP, используя модель периодических запросов (beaconing) с интервалом по умолчанию 10 секунд. Для получения инструкций применяются GET-запросы, для отправки похищенных данных — POST-запросы. Трафик шифруется алгоритмом AES-128 в режиме CBC.

Цепочка доставки

Доставка TinyRCT осуществляется через вредоносный архив chrome_setup.zip, содержащий три компонента: легитимный исполняемый файл chrome_setup.exe, конфигурационный файл chrome_setup.exe.config и вредоносную библиотеку MyAppDomainManager.dll. Последняя запускает атаку типа AppDomainManager Injection (MITRE ATT&CK T1574.014) — техника подмены менеджера доменов приложений .NET, позволяющая загрузить вредоносный код в контексте легитимного процесса. Загруженная DLL выступает загрузчиком, обращаясь к внешнему серверу для получения основного бэкдора.

Инструментарий и тактики

CL-STA-1062 использует гибридный набор инструментов, сочетающий открытые утилиты с собственными разработками. Среди открытых инструментов, по данным исследователей:

  • SoftEther VPN — для создания VPN-туннелей и горизонтального перемещения
  • Mimikatz — для извлечения учётных данных
  • Yuze — прокси-утилита SOCKS5
  • VNT — VPN-инструмент

Характерная особенность группировки — маскировка инструментов под легитимное программное обеспечение. Вредоносные файлы распространяются под именами XDRAgent.exe, vmtools.exe и vmwared.exe, имитируя компоненты VMware и агенты систем расширенного обнаружения угроз. Первоначальный доступ к целевым системам обеспечивается через веб-оболочки формата ASPX, которые используются для начальной разведки и установления исходящих соединений с инфраструктурой атакующих.

Индикаторы компрометации

На основании данных из отчёта Unit 42 опубликованы следующие сетевые индикаторы:

  • IP-адрес C2-сервера TinyRCT:45.32.113[.]172
  • IP-адрес сервера загрузки:139.180.134[.]221
  • Имена файлов:PerfWatson2.exe, chrome_setup.zip, MyAppDomainManager.dll
  • Маскировочные имена:XDRAgent.exe, vmtools.exe, vmwared.exe

Оценка воздействия

Наибольшему риску подвержены государственные учреждения, госпредприятия энергетического сектора и операторы критической инфраструктуры в странах Юго-Восточной и Восточной Азии. Эксфильтрация исходного кода веб-серверов и данных из баз MS SQL может привести к компрометации дополнительных систем, утечке конфиденциальной информации и созданию плацдарма для дальнейших атак на связанные организации. Сочетание целенаправленного таргетирования критической инфраструктуры с разработкой собственного вредоносного ПО указывает на устойчивый характер угрозы.

Рекомендации по защите

  1. Проверить сетевые журналы на наличие соединений с IP-адресами 45.32.113.172 и 139.180.134.221, особенно HTTP-трафик с периодичностью ~10 секунд
  2. Провести поиск файлов PerfWatson2.exe, MyAppDomainManager.dll и архивов chrome_setup.zip на серверах и рабочих станциях
  3. Проверить веб-серверы на наличие несанкционированных ASPX-файлов, особенно в каталогах, доступных через веб
  4. Выявить подозрительные процессы с именами XDRAgent.exe, vmtools.exe, vmwared.exe, не соответствующие легитимным установкам VMware или XDR-решений
  5. Ограничить использование AppDomainManager в .NET-приложениях — настроить мониторинг загрузки нестандартных конфигурационных файлов .config рядом с исполняемыми файлами
  6. Усилить контроль исходящих VPN-соединений, в частности SoftEther VPN, и проксирования через SOCKS5 из серверного сегмента
  7. Аудит доступа к серверам MS SQL — проверить журналы на предмет массового извлечения данных

Появление TinyRCT в арсенале CL-STA-1062 демонстрирует переход группировки от исключительного использования открытых инструментов к разработке собственного вредоносного ПО с шифрованием трафика и механизмами уклонения от обнаружения. Организациям в целевых секторах следует в приоритетном порядке проверить свою инфраструктуру на опубликованные индикаторы компрометации, настроить детектирование техники AppDomainManager Injection (T1574.014) и обеспечить мониторинг аномального HTTP-трафика с характерным для TinyRCT паттерном периодических запросов.


CyberSecureFox Editorial Team

Редакция CyberSecureFox освещает новости кибербезопасности, уязвимости, malware-кампании, ransomware-активность, AI security, cloud security и security advisories вендоров. Материалы готовятся на основе official advisories, данных CVE/NVD, уведомлений CISA, публикаций вендоров и открытых отчётов исследователей. Статьи проверяются перед публикацией и обновляются при появлении новых данных.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.