В начале июля 2025 года европейская телекоммуникационная компания подверглась атаке группы кибершпионажа, известной как Salt Typhoon. Злоумышленники использовали уязвимость в Citrix NetScaler Gateway для первоначального проникновения в систему и далее распространялись через хосты Citrix Virtual Delivery Agent.
Влияние уязвимостей Citrix на безопасность телекоммуникаций
Методы и последствия атаки
Заметив уязвимость в субсети Machine Creation Services, группа Salt Typhoon применила технику побочной загрузки DLL для внедрения вредоносных программ Snappybee. Эта программа, предполагаемая преемница известного Rootkit ShadowPad, была замаскирована под легитимные антивирусные файлы, такие как Norton Antivirus, Bkav Antivirus и IObit Malware Fighter.
Вредоносное ПО подключалось к внешнему серверу aar.gandhibludtric[.]com через протоколы HTTP и TCP. Однако компания Darktrace, специализирующаяся на вопросах кибербезопасности, смогла своевременно обнаружить и устранить угрозу, минимизируя потенциальные последствия.
Активность и цели Salt Typhoon
Salt Typhoon, действующая с 2019 года, известна своими атаками на устройства у периметра сетей и эксфильтрацией данных у более чем 80 стран. Основные цели группы включают в себя телекоммуникационные компании, энергетические сети и государственные системы.
Поскольку активность Salt Typhoon направлена на долговременное проникновение и получение конфиденциальных данных, компаниям рекомендуется усилить защитные меры и мониторинг критически важных систем.
