Mastodon Mastodon Mastodon Mastodon

Бекдор TinyRCT у кампанії CL-STA-1062 проти держсектору Південно-Східної Азії

Photo of author

CyberSecureFox Editorial Team

Опубліковано:

Дослідники Palo Alto Networks Unit 42 пов’язали кластер вторгнень, який відстежується як CL-STA-1062, із раніше не задокументованим бекдором TinyRCT. За даними звіту, угруповання, імовірно китайськомовне, атакує державні установи, державні підприємства енергетичного сектору та об’єкти критичної інфраструктури в Південно-Східній Азії. У період з жовтня по грудень 2025 року, за повідомленнями, було скомпрометовано щонайменше 10 організацій у регіоні. Організаціям державного та енергетичного секторів Південно-Східної Азії рекомендується перевірити свої системи на наявність опублікованих індикаторів компрометації та посилити моніторинг веб-серверів.

Профіль угруповання та хронологія кампанії

За даними Unit 42, активність CL-STA-1062 простежується щонайменше з березня 2022 року — ранні операції були спрямовані проти стратегічних секторів Східної Азії. Із середини 2025 року фокус змістився на критичну інфраструктуру Південно-Східної Азії. У вересні 2025 року, за повідомленнями, угруповання проникло до державної установи однієї з країн регіону, розгорнуло веб-оболонку і ексфільтрувало дані з сервера MS SQL. Паралельно велася мережева розвідка щодо іншої державної установи тієї ж країни, що вказує на підготовку до горизонтального переміщення. В одному з випадків зловмисники, за даними дослідників, вивантажили цілий каталог вихідного коду веб-сервера.

Важливо зазначити: атрибуція та дані про масштаби кампанії ґрунтуються на одному дослідницькому звіті й не підтверджені незалежними джерелами або постраждалими організаціями.

Технічний аналіз TinyRCT

TinyRCT — це легковагий троян віддаленого доступу, написаний на платформі .NET і поширюваний під ім’ям файла PerfWatson2.exe. За результатами аналізу Unit 42, бекдор має такі можливості:

  • Виконання довільних команд на скомпрометованому хості
  • Перерахування та ексфільтрація файлів
  • Захоплення знімків екрана
  • Віддалене керування системою
  • Самовидалення для приховування слідів
  • Виявлення та обхід пісочниць

Мережева взаємодія

TinyRCT встановлює постійний канал зв’язку з командним сервером за протоколом HTTP, використовуючи модель періодичних запитів (beaconing) з інтервалом за замовчуванням 10 секунд. Для отримання інструкцій застосовуються GET-запити, для надсилання викрадених даних — POST-запити. Трафік шифрується алгоритмом AES-128 у режимі CBC.

Ланцюжок доставки

Доставлення TinyRCT здійснюється через шкідливий архів chrome_setup.zip, що містить три компоненти: легітимний виконуваний файл chrome_setup.exe, конфігураційний файл chrome_setup.exe.config і шкідливу бібліотеку MyAppDomainManager.dll. Остання запускає атаку типу AppDomainManager Injection (MITRE ATT&CK T1574.014) — техніку підміни менеджера доменів застосунків .NET, яка дає змогу завантажити шкідливий код у контексті легітимного процесу. Завантажена DLL виконує роль завантажувача, звертаючись до зовнішнього сервера для отримання основного бекдора.

Інструментарій і тактики

CL-STA-1062 використовує гібридний набір інструментів, що поєднує відкриті утиліти з власними розробками. Серед відкритих інструментів, за даними дослідників:

  • SoftEther VPN — для створення VPN-тунелів і горизонтального переміщення
  • Mimikatz — для вилучення облікових даних
  • Yuze — проксі-утиліта SOCKS5
  • VNT — VPN-інструмент

Характерна риса угруповання — маскування інструментів під легітимне програмне забезпечення. Шкідливі файли поширюються під назвами XDRAgent.exe, vmtools.exe та vmwared.exe, імітуючи компоненти VMware і агентів систем розширеного виявлення загроз. Початковий доступ до цільових систем забезпечується через веб-оболонки формату ASPX, які використовуються для початкової розвідки та встановлення вихідних з’єднань з інфраструктурою зловмисників.

Індикатори компрометації

На підставі даних зі звіту Unit 42 опубліковано такі мережеві індикатори:

  • IP-адреса C2-сервера TinyRCT:45.32.113[.]172
  • IP-адреса сервера завантаження:139.180.134[.]221
  • Імена файлів:PerfWatson2.exe, chrome_setup.zip, MyAppDomainManager.dll
  • Маскувальні назви:XDRAgent.exe, vmtools.exe, vmwared.exe

Оцінка впливу

Найбільшому ризику піддаються державні установи, державні підприємства енергетичного сектору та оператори критичної інфраструктури в країнах Південно-Східної та Східної Азії. Ексфільтрація вихідного коду веб-серверів і даних із баз MS SQL може призвести до компрометації додаткових систем, витоку конфіденційної інформації та створення плацдарму для подальших атак на пов’язані організації. Поєднання цілеспрямованого націлювання критичної інфраструктури з розробкою власного шкідливого ПЗ вказує на стійкий характер загрози.

Рекомендації із захисту

  1. Перевірити мережеві журнали на наявність з’єднань з IP-адресами 45.32.113.172 та 139.180.134.221, особливо HTTP-трафік із періодичністю ~10 секунд
  2. Виконати пошук файлів PerfWatson2.exe, MyAppDomainManager.dll та архівів chrome_setup.zip на серверах і робочих станціях
  3. Перевірити веб-сервери на наявність несанкціонованих ASPX-файлів, особливо в каталогах, доступних через веб
  4. Виявити підозрілі процеси із назвами XDRAgent.exe, vmtools.exe, vmwared.exe, які не відповідають легітимним інсталяціям VMware або XDR-рішень
  5. Обмежити використання AppDomainManager у .NET-застосунках — налаштувати моніторинг завантаження нестандартних конфігураційних файлів .config поряд із виконуваними файлами
  6. Посилити контроль вихідних VPN-з’єднань, зокрема SoftEther VPN, і проксіювання через SOCKS5 із серверного сегмента
  7. Провести аудит доступу до серверів MS SQL — перевірити журнали на предмет масового вилучення даних

Поява TinyRCT в арсеналі CL-STA-1062 демонструє перехід угруповання від виключного використання відкритих інструментів до розробки власного шкідливого ПЗ із шифруванням трафіку та механізмами ухилення від виявлення. Організаціям у цільових секторах слід у пріоритетному порядку перевірити свою інфраструктуру на опубліковані індикатори компрометації, налаштувати виявлення техніки AppDomainManager Injection (T1574.014) та забезпечити моніторинг аномального HTTP-трафіку з характерним для TinyRCT шаблоном періодичних запитів.


CyberSecureFox Editorial Team

Редакція CyberSecureFox висвітлює новини кібербезпеки, уразливості, malware-кампанії, ransomware-активність, AI security, cloud security та security advisories вендорів. Матеріали готуються на основі official advisories, даних CVE/NVD, сповіщень CISA, публікацій вендорів і відкритих звітів дослідників. Статті перевіряються перед публікацією та оновлюються за появи нових даних.

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.