Murakkab kiberkampaniya: bir nechta xakerlik klasterlari va keng qamrovli malware ishlatilgan
2025-yilda amalga oshirilgan kiberhujumlar davomida turli zararli dastur oilalari qo‘llanilgani aniqlandi. Ular orasida HIUPAN (USBFect, MISTCLOAK, U2DiskWatch), PUBLOAD, EggStremeFuel (RawCookie), EggStremeLoader (Gorem RAT), MASOL RAT, PoshRAT, TrackBak Stealer, Hypnosis Loader va FluffyGh0st kabi vositalar mavjud.
Mazkur faoliyat quyidagi xakerlik klasterlariga bog‘langan:
2025-yil iyun–avgust: Mustang Panda (Stately Taurus)
2025-yil mart–sentyabr: CL-STA-1048 (Earth Estries va Crimson Palace bilan bog‘liq)
2025-yil aprel va avgust: CL-STA-1049 (Unfading Sea Haze bilan bog‘liq)
Mutaxassislar ta’kidlashicha, ushbu klasterlar o‘rtasida taktikalar, texnikalar va protseduralar (TTP) bo‘yicha sezilarli o‘xshashlik mavjud. Bu esa ularning umumiy maqsad sari yo‘naltirilgan va ehtimol muvofiqlashtirilgan holda harakat qilganini ko‘rsatadi.
Mustang Panda faoliyati va infektsiya zanjiri
2025-yil 1-iyundan 15-avgustgacha kuzatilgan Mustang Panda faoliyati USB orqali tarqaluvchi HIUPAN malware’dan foydalangan. Ushbu vosita orqali zararli DLL — Claimloader yordamida PUBLOAD backdoor tizimga joylashtirilgan.
Qiziqarli jihati shundaki, Claimloader ilk bor 2022-yilda Filippindagi hukumat tashkilotlariga qarshi hujumlarda aniqlangan edi.
Shuningdek, zararlangan tarmoqda yana bir backdoor — COOLCLIENT aniqlangan. Bu vosita:
fayllarni yuklash va yuklab olish
klaviatura yozuvlarini qayd etish
tarmoq trafikini tunnellash
portlar haqidagi ma’lumotlarni yig‘ish
imkoniyatlariga ega bo‘lib, kamida 3 yildan beri faol qo‘llanib kelinmoqda.
CL-STA-1048 ishlatgan vositalar
Ushbu klaster tomonidan ishlatilgan malware vositalari keng va “shovqinli” (aniqlanish ehtimoli yuqori) bo‘lgan:
EggStremeFuel – yengil backdoor bo‘lib, fayllarni boshqarish, reverse shell ishga tushirish, IP manzilni aniqlash va C2 sozlamalarini yangilash imkonini beradi
EggStremeLoader – EggStreme framework’ining komponenti bo‘lib, 59 ta buyruq orqali keng qamrovli ma’lumot o‘g‘irlash imkonini beradi (jumladan Dropbox orqali uzatish)
MASOL RAT (Backdr-NQ) – masofadan buyruq bajarish va fayl operatsiyalari
TrackBak Stealer – loglar, clipboard ma’lumotlari va fayllarni yig‘ish
CL-STA-1049 va yangi texnikalar
CL-STA-1049 faoliyatida yangi Hypnosis Loader aniqlangan. Bu vosita DLL side-loading orqali ishga tushirilib, yakunda FluffyGh0st RAT o‘rnatilishiga olib keladi.
Hujumning boshlang‘ich kirish nuqtasi (initial access vector) aniq bo‘lmasa-da, bu ikki klaster bir xil nishonga qaratilgan bo‘lishi ehtimoli yuqori.
Xulosa: asosiy maqsad — uzoq muddatli kirish
Mutaxassislarning fikriga ko‘ra, ushbu hujumlarning asosiy maqsadi tizimlarga zarar yetkazish emas, balki:
uzoq muddatli va yashirin kirish o‘rnatish
hukumat tarmoqlarida doimiy mavjudlikni ta’minlash
sezgir ma’lumotlarni bosqichma-bosqich yig‘ish
bo‘lgan.
Bir nechta klasterlarning bir vaqtning o‘zida faol bo‘lishi va ularning texnik jihatdan o‘xshashligi bu operatsiya strategik darajada rejalashtirilganini ko‘rsatadi.
