Amaranth-Dragon: Китайская APT-группа эксплуатирует уязвимость WinRAR в шпионских атаках в Юго-Восточной Азии

Китайская APT-группа Amaranth-Dragon эксплуатирует уязвимость WinRAR в целевых шпионских атаках

Исследователи Check Point Research выявили ранее недокументированную кампанию кибершпионажа, получившую название Amaranth-Dragon, которую связывают с китайскими угрожающими акторами. Операция, активная на протяжении 2025 года, была направлена на государственные и правоохранительные органы в Юго-Восточной Азии, включая Камбоджу, с целью сбора разведывательной информации.

Технические детали: эксплуатация уязвимости WinRAR в основе атаки

Кампания использует CVE-2023-38831 — критическую уязвимость в WinRAR (версии до 6.23), позволяющую удаленное выполнение кода (RCE) через специально подготовленные архивные файлы. При эксплуатации этой уязвимости злоумышленники могут выполнять произвольный код на системе жертвы, обманом заставляя пользователей открывать вредоносные архивы, замаскированные под легитимные документы.

Анализ Check Point показал, что Amaranth-Dragon имеет общую инфраструктуру и тактические совпадения с APT41 — хорошо известной китайской группой угроз (Advanced Persistent Threat, APT), занимающейся как государственным кибершпионажем, так и финансово мотивированными кибератаками. Хотя полный масштаб кампании всё ещё исследуется, предварительные данные указывают на использование:

• Кастомных вредоносных полезных нагрузок, разработанных для обеспечения устойчивости и эксфильтрации данных
• Целевого фишинга (spear-phishing) в качестве основного вектора доставки
• Техник «Living-off-the-land» (LotL), позволяющих избежать обнаружения

Влияние и стратегические последствия

Нацеленность на государственные и правоохранительные структуры соответствует историческим целям китайского кибершпионажа, особенно в регионах геополитического интереса. Юго-Восточная Азия давно является горячей точкой активности APT-групп, где часто действуют такие группы, как APT41, Mustang Panda и другие.

Основные риски, связанные с этой кампанией, включают:

• Кража конфиденциальных государственных и разведывательных данных
• Компрометацию коммуникаций и расследований правоохранительных органов
• Возможность последующих атак с использованием украденных учётных данных или внутреннего доступа

Рекомендации по защите

Командам безопасности в высокорисковых секторах следует уделить первоочередное внимание следующим мерам защиты:

1. Управление патчами: Убедитесь, что WinRAR обновлён до версии 6.23 или новее для устранения уязвимости CVE-2023-38831.
2. Защита электронной почты: Внедрите продвинутые средства защиты от угроз для обнаружения и блокировки целевых фишинговых атак, особенно содержащих вложения в виде архивов.
3. Обнаружение и реагирование на угрозы (EDR): Отслеживайте необычное выполнение процессов (например, запуск cmd.exe или powershell.exe из WinRAR) и попытки горизонтального перемещения по сети.
4. Обучение пользователей: Обучите сотрудников проверять подлинность отправителей перед открытием архивных файлов, даже если они кажутся полученными из надёжных источников.
5. Сегментация сети: Ограничьте доступ к чувствительным системам для снижения последствий потенциальных взломов.

Исследователи Check Point продолжают отслеживать активность Amaranth-Dragon и опубликуют дополнительные сведения по мере продвижения расследования. Организациям в целевых секторах рекомендуется сохранять бдительность и сообщать о любой подозрительной активности в соответствующие кибербезопасные органы.