Оросын Холбооны Улсын Касперски байгууллагын “GReAT” аюулгүй байдлын судалгааны баг 2025 оны 04 дүгээр сард ОХУ болон Монгол Улсын төрийн байгууллагууд руу шинэ төрлийн кибер халдлага үйлдэгдэж байгаа тухай “GReAT” багийн цахим хуудас securelist.com сайтад мэдээлсэн. Тус тайланд дурдсанаар IronHusky APT гэх БНХАУ-ын хакерын бүлэглэл байж болзошгүй (Хятад хэл ашигладаг) халдлага үйлдэгчид MysterySnail RAT гэх хортой программ хангамжийг ашиглан тагнан турших болон мэдээлэл цуглуулах зорилгоор урт хугацааны зорилтот халдлагыг үйлдэж байсан байна.

           Тус халдлага нь хортой Microsoft Management Console код агуулах Монгол Улсын Газар зохион байгуулалт, геодези, зураг зүйн ерөнхий газартай (ALAMGAC) холбоотой мэт харагдах Microsoft Word файлын зурагтай файлыг ашиглаж халдварлуулдаг байна.

Зураг 1. Хортой MMC код агуулах файл

          Энэхүү хортой кодыг ажиллуулах үед дараах үйлдлүүдийг хийн гүйцэтгэдэг. Үүнд:

          • Нэмэлт хортой программ хангамж агуулах ZIP архив болон хуурамч docxz файлыг file[.]io

сайтаас татан авах

           • ZIP архивыг задлан %AppData%\Cisco\Plugins\X86\bin\etc\Update хавтаст нуун байршуулах

           • Задалсан CiscoCollabHost.exe ачаалуулах

           • Тогтвортой байдлыг бий болгох үүднээс регистр утга өөрчлөх

           • Хохирогчид зориулсан татаж авсан хуурамч docx файлыг нээж харуулах

          CiscoCollabHost.exe файл нь албан ёсны энгийн файл боловч түүнийг ажиллах үед давхар ачаалах CiscoSparkLauncher.dll файл нь хортой программ хангамж ба тогтвортой байдлыг бий болгох “T1574. DLL Sideloading” техникийг ашиглаж байна. Хортой “dll” файл нь нээлттэй эх сурвалжийн төсөл болох piping-server буюу https://ppng[.]io – оор дамжуулан Команд удирдлагын сервертэй холболт тогтоож, команд ажиллуулах, файл цуглуулах, устгах, суулгах, зогсоох зэрэг үйлдлүүдийг хийдэг. Улмаар халдагч этгээд энэхүү арын хаалгыг ашиглаж MysterySnail RAT (sophosfilesubmitter.exe, fltlib.dll) хортой программ хангамжийг суулгадаг.

           Одоогийн байдлаар халдагч этгээдийн ашигласан HTTP холболтоор хортой программ хангамжийн бүрдэл dll модулиудыг татаж авахад ашиглагдсан серверүүд болох

            • Watch-smcvs[.]com

            • Leotolstoys[.]com нь идэвхгүй болсон байна.

           Уг тайланд хортой программ хангамжийн хэш утга, IP хаяг зэрэг халдлагын вектор (IoC)-г GreAT багийн зүгээс ил болгоогүй байна.

ДҮГНЭЛТ:

          Шинэ төрлийн MysterySnail RAT нь анх бий болж байсан 2021 оны хувилбараас илүү бага хэмжээтэй, 40 гаруй төрлийн команд ажиллуулах чадвартай болсон буюу файл удирдлагын системд өндөр эрхтэй хандах, команд ажиллуулах, процесс үүсгэх, устгах, сервис тохируулах, сүлжээд холбогдох гэх 5 dll модулиудаас бүрдэж илүү боловсронгуй болсон байна.

          Энэхүү кибер халдлагад мэдээллийг дамжуулах нээлттэй эх сурвалжийн piping-server-ийг команд удирдлагын серверээр ашигласан нь тус сервер рүү чиглэсэн энгийн урсгалаас хортой кодын хандалт буюу сэжигтэй хандалт хэмээн олж тогтооход хүндрэлтэй болгосон байна.

          Иймд байгууллага өөрсдийн интернэт хэрэглээний сүлжээнээс https://ppng[.]io (160.16.213.98 IP хаяг)-тай холболт тогтоосон эсэхийг нягтлан шалгаж байж болзошгүй эцсийн төхөөрөмжийг олж, сэжигтэй байж болзошгүй үйлдлийг илрүүлэхийг зөвлөж байна. Мөн Онч чухал мэдээллийн дэд бүтэцтэй байгууллага нь мэдээлэл солилцох тус төрлийн платформыг ашиглах нь мэдээлэл алдагдах эрсдэлийг бий болгох тул ашиглахгүй байхад анхаарна уу.