Арсенал тех, кого не замечают: разбор 33 инструментов реальных APT-атак

Дисклеймер

Материал предназначен для специалистов по информационной безопасности, системных администраторов и разработчиков. Рассматриваются исключительно технологии и методики — принципы работы, архитектура, способы обнаружения и нейтрализации угроз. Статья носит образовательный характер, не содержит инструкций по созданию или распространению вредоносного ПО и не призывает к нарушению законодательства РФ. Ответственность за применение описанных методов лежит на читателе в рамках действующего законодательства.

Большинство этих инструментов встречаются в одном и том же арсенале. Одна из групп атаковала российские аэрокосмические предприятия, оставалась в инфраструктуре до десяти месяцев и похитила тысячи документов. Часть инструментов в этом списке использует GitHub как канал управления, другие распространяются с помощью подписанных сертификатов антивируса McAfee. Это не абстрактный перечень утилит — описан конкретный набор средств, который прямо сейчас может находиться в чужой инфраструктуре.

Когда аналитик обнаруживает в логах подозрительное имя (например, fscan.exe) или видит процесс svchost с нетипичным исходящим соединением, возникает вопрос: «Что это?» Задействована ли группа Red Team, или злоумышленники уже давно находятся в сети?

Перечень инструментов ниже неслучаен. Около двух третей из них задокументированы как часть арсенала одной APT-группы и близких кластеров, атаковавших российские госсектор, аэрокосмические организации и критическую инфраструктуру в течение нескольких лет. Аналитики Positive Technologies дали группе кодовое имя Space Pirates: в PDB-путях скомпилированных компонентов встречалась строка P1Rat. Есть связи с APT41 (Winnti), APT27, TA428 и Mustang Panda, однако чёткая атрибуция затруднена, о чём подробнее ниже.

Разведка сети: с чего начинается атака

Каждое проникновение начинается с разведки. Злоумышленник стремится понять топологию сети, обнаружить активные сервисы, определить используемые версии ПО и выявить потенциальные точки входа.

nmap. Отраслевой стандарт для сканирования портов и баннерного анализа, поддерживает синтаксические и скриптовые проверки уязвимостей (NSE). В отличие от легитимного использования, злоумышленники выделяются способом применения: откуда запущен сканер, когда, с какой частотой.
fscan. После обнаружения открытых портов (например, 445) переходит к активному перечислению учётных записей, шард SMB, проверяет уязвимости Redis, RPC, MSSQL. Обнаружение fscan почти всегда указывает на атаки, так как администраторы используют отдельные средства для каждой задачи.
NBTscan. Сконцентрирован на анализе NetBIOS и по-прежнему эффективен в старых Windows-сетях. Отличителен массовой генерацией UDP-запросов на порт 137.
PortQry version 2.0 GOLD. Легальный инструмент Microsoft, использующийся как часть концепции living-off-the-land: злоумышленник не приносит внешний софт, а использует штатные средства. Присутствие PortQry — не индикатор компрометации само по себе.
Acunetix. Коммерческий веб-сканер, лицензия на шесть знаков, периодически применяется во внешней разведке APT-групп для поиска и инвентаризации веб-сервисов.
SharpHound. Собирает информацию об Active Directory: ACL, группы, тикеты, сессии. Данные используются в BloodHound, строящем граф привилегий. SharpHound заметно шумит в логах, но большинство SIEM не реагируют без тонкой настройки.

Работа с учётными данными

После начального доступа атакующему нужны дополнительные учётные данные и сессионные токены для продвижения по сети.

Mimikatz. Извлекает NT-хэши, Kerberos-тикеты и открытые пароли из памяти процесса lsass. С ростом защит Microsoft (Credential Guard, Protected Process Light, рестрикции WDigest) требует постоянных доработок, но функциональность востребована до сих пор.
ProcDump. Легитимный инструмент Sysinternals, создающий дампы процессов. Злоумышленники используют для получения дампа lsass.exe, который анализируется локально или на внешней системе. Из-за легитимной подписи срабатывает редко.
Impacket. Имплементирует протоколы SMB, DCE/RPC, Kerberos, NTLM, LDAP на стороне клиента. Сценарии вроде secretsdump.py или psexec.py позволяют вытянуть хэши или выполнить команды удалённо. Обнаружение возможно по микроскопическим отличиям от настоящих клиентов Windows.
KrbRelayUp. Атакует неправильную настройку RBCD (Resource-Based Constrained Delegation) в AD. Использует возможность создавать компьютеры в домене и получать тикеты на ресурсы любого пользователя.
SharpRoast. Автоматизирует атаку Kerberoasting: получение TGS-тикетов и офлайн-брутфорс низкопрочных паролей сервисных учёток.

Веб-шеллы и туннелирование

Получив доступ к серверу, злоумышленник закрепляется с помощью скрытых средств управления, зачастую маскируя трафик под легитимный HTTP.

Godzilla и Behinder. Прочные современные веб-шеллы: поддержка PHP, JSP, ASP.NET, шифровка взаимодействия, внедрение в память приложений без файлов на диске. Behinder внедряется на стороне Tomcat через Filter/Listener/Interceptor. В логах заметен через аномальные POST-запросы или энтропию передачи.
reGeorg и Neo-reGeorg. Превращают взломанный веб-сервер в SOCKS5-прокси: HTTP-запросы в сеть читаются, одни данные инкапсулируются и перебрасываются на внутренние адреса, шифрование добавлено в Neo-reGeorg.
Stowaway и dog-tunnel. Многоуровневые туннели для выхода в сегментированные части сети с внутреннего хоста; поддерживают различные транспортные протоколы, в том числе WebSocket.

Инструменты удалённого выполнения

PsExec. Позволяет запускать процессы на удалённых машинах через SMB, создаёт сервис PSEXESVC для выполнения команд, после чего удаляет его. Отличие атаки — автор запуска и время исполнения.
xCmd. Аналог PsExec, но работает без сервисов, меньше легитимного применения, что делает его интересным индикатором.

Загрузчики первой стадии

В современных атаках загрузочная стадия минимизирована и предназначена исключительно для запуска основной нагрузки.

Downloader.Climax.A. Слабофункциональный загрузчик — только скачивание и запуск следующей стадии в памяти. Распространение — фишинговые письма.
Downloader.Climax.B. Использует эксплойты для Equation Editor (например, CVE-2017-11882), часто интегрирован в RTF-документы.
MyKLoadClient. Использует SFX-архив, DLL side-loading, часто под легитимным подписанным бинарником McAfee, помогает обходить Application Control и EDR.
Royal Road (8.t). Конструктор вредоносных RTF. Массово применяется несколькими группами, из-за чего детект по инструменту не атрибутирует к конкретной группе.
Zupdax. Аналогичный загрузчик и бэкдор, отличается кодовой базой и C2-протоколами.

Бэкдоры и RAT: от классики до кастомизированных решений

Инструментарий эволюционирует годами, отдельные образцы поддерживаются и развиваются до сих пор.

Poison Ivy. RAT с функциями кейлоггинга, файлового менеджера и удалённого управления, активно использовался с 2005 года, актуален при отсутствии современных антивирусных баз.
PlugX (Korplug). Ключевой RAT с модульной архитектурой, поддержкой разных C2 и загрузкой DLL. В 2024 году ФБР удалил PlugX с заражённых машин через технически перехваченный C2 и встроенную команду удаления.
PcShare. Китайский RAT с открытым кодом, настраивается через DLL, часто переупаковывается, затрудняя сигнатурный детект.
ShadowPad (PoisonPlug). Преемник PlugX с модульной архитектурой, впервые стал известен после supply-chain атаки на NetSarang. Добавление новых функций возможно без пересборки импланта.
Deed RAT (SNAPPYBEE). Новый инструмент с модульными зашифрованными плагинами, сложной коммуникацией (TCP, HTTP, DNS, UDP, PIPE, TLS) и сложной обфускацией.
BH_A006. Модификация Gh0st RAT, характерная для Space Pirates, с несколькими слоями обфускации и обходом UAC. Загрузчик встречался также у LightSpy (шпионской программы для iOS).
RtlShare. Модификация PcShare с цепочкой из трёх DLL; последний внедряется в rdpclip.exe. Такой выбор позволяет скрывать сетевую активность на серверах с RDS.
Voidoor. Использует GitHub-репозиторий и поисковик voidtools.com как канал C2. Имплант хранит токен GitHub API, получает команды через новые файлы в репозитории и возвращает результаты аналогично. Такой трафик практически неотличим от работы разработчика.
CHAOS. Кросс-платформенный open-source RAT на Go. Применяется для администрирования, внедряется и для атак. Обеспечивает обратный шелл, файловое управление, захват экрана. Есть кейсы использования на Linux-серверах для майнинга. В веб-интерфейсе обнаружена уязвимость исполнения кода (CVE-2024-30850), представляющая риск не только для жертв, но и для атакующего.

ReVBShell: открытый код в APT-операциях

ReVBShell — простая VBScript-оболочка с публичного репозитория, выполняет команды, собирает системную информацию, общается через HTTP. При всей банальности становится частью кампаний Tick APT и TAG-74 (связанной с ГРУ НОАК).

Tick интегрировал ReVBShell в троянизированный инсталлятор Q-Dir, который распространялся через helpdesk-инструменты среди клиентов в госсекторе и военных организациях.
TAG-74 использовал ReVBShell в цепочке загрузки с CHM-файлами через DLL side-loading и запуск отредактированного VBScript с увеличенным таймингом (интервал опроса с 5 секунд до 5 минут), что сильно снижает его заметность.

Общий инструментарий и экосистема

Многие средства встречаются в арсенале разных групп: PlugX используют APT41, APT27, RedFoxtrot; Royal Road генерирует вредоносные документы для десятка команд; BH_A006 появляется у Space Pirates и в акциях APT41.

Такое пересечение не связано с недостаточной атрибуцией аналитиков. В китайской APT-экосистеме есть специализированные структуры — цифровые снабженцы («digital quartermaster»), создающие и распространяющие инструментарий по принципу SaaS между несколькими группами. Утечка документов подрядчика I-Soon в 2024 году доказала: значительная часть атак реализуется через коммерческие структуры, выполняющие заказы для госсектора. Один поставщик — множество клиентов, отсюда и пересечения.

Вывод: инструментарий указывает не на конкретную группу, а на экосистему. С точки зрения детектирования это даже удобнее: достаточно регулярных правил для типовых средств, чтобы покрыть целый класс угроз.

Подходы к обнаружению

Ни один инструмент сам по себе не является гарантированным индикатором атаки. Контекст и анализ поведения важнее любой сигнатуры.

Сканирование: источник с тысячей запросов на 445 порт за минуту — либо очень усердный администратор, либо fscan.
Дамп lsass: любой процесс, открывающий дескриптор lsass с правами PROCESS_VM_READ (вне Defender или EDR-агента), требует немедленного расследования.
Исходящие соединения от веб-процессов: www-data или IIS Worker инициирует TCP-соединение на внешний IP — признак применения веб-шелла.
Необычные обращения к GitHub API с серверов вне отдела разработки — могут сигнализировать о Voidoor или схожем C2-механизме.
rdpclip.exe загружает сторонние DLL — индикатор RtlShare.
Бинарник антивируса грузит DLL из нетипичного пути: стратегия DLL side-loading, характерная для MyKLoadClient и Deed RAT.

Детект по поведению всегда предпочтительнее сигнатурного: имя файла меняется мгновенно, а последовательность API-вызовов и характер сетевой активности остаётся устойчивым паттерном.

Критически важно фиксировать «нормальное состояние» инфраструктуры. Без baseline невозможно вовремя распознать аномалию. Особое внимание — сервисным и машинным аккаунтам: если учётка mssqlsvc не должна аутентифицироваться на DC, единичная попытка входа должна немедленно вызывать расследование.

#информационнаябезопасность #кибербезопасность #инфобез #защитаданных #кибератака #redteam #blueteam #DFIR #хакеры #киберугрозы