ПРОГРИД СИСТЕМС ХХК, Progrid Systems LLC,
GopherWhisper: Монголын төрийн байгууллагыг онилсон шинэ APT группGopherWhisper: Монголын төрийн байгууллагыг онилсон шинэ APT групп
ESET‑ийн судалгааны баг өмнө нь бүртгэгдэж байгаагүй, Хятадын талд хамааралтай GopherWhisper APT бүлгийг илрүүлж нийтэд зарлалаа. Энэхүү халдлагын бүлэг нь Монгол Улсын төрийн нэг байгууллагыг бодитоор онилсон халдлага явуулсан нь тогтоогдлоо. Ихэвчлэн Go хэл дээр бичигдсэн олон төрлийн backdoor, тэдгээрийг тараах loader, injector‑ууд, мөн Slack, Discord, Microsoft 365 Outlook зэрэг ердийн, итгэмжлэгдсэн cloud үйлчилгээ‑г команд удирдлага (C&C)‑даа ашигласнаараа онцлог байна. Энэ нь уламжлалт “сэжигтэй сервер рүү холбогддог malware”‑аас ялгаатай бөгөөд байгууллагын өдөр тутам ашигладаг IT үйлчилгээ дундуур далд ажиллагаа явуулсан илүү аюултай загвар юм.
Илэрсэн халдлагын ерөнхий зураг
Яагаад эрсдэл өндөр вэ?
- Тус халдлага нь шинэ, өмнө нь танигдаагүй malware‑аар хийгдсэн
- Одоогийн олон хамгаалалтын системд (signature‑д суурилсан) анхандаа баригдахгүй
- Slack, Discord, Outlook зэрэг итгэлтэй домэйн ашигласан тул firewall, proxy‑гоор чөлөөтэй нэвтэрсэн
Монголд чиглэсэн бодит халдлага
- 2025 оны 1‑р сард Монголын төрийн байгууллагын системээс LaxGopher нэртэй backdoor илэрсэн
- Дараагийн шинжилгээгээр ижил бүлгийн өөр олон malware мөн илэрсэн
- Код, техник, TTP хувьд ямар ч өмнөх APT‑тай давхцалгүй → шинэ бүлэг гэж дүгнэсэн
GopherWhisper‑ийн ашигласан гол хэрэгслүүд
Хэрэгслийн нэр Үүрэг, эрсдэл JabGopher Backdoor‑ыг системийн процесс (svchost.exe) дотор “нууж” ажиллуулна LaxGopher Slack‑аар дамжуулж команд авч, системийг хянах, файл татах RatGopher Discord ашиглан ижил үүрэг гүйцэтгэнэ CompactGopher Файлуудыг шахаж, file.io‑р дамжуулан гадагш мэдээлэл алдах SSLORDoor 443 порт ашиглан шууд файлын удирдлага хийх BoxOfFriends Outlook (Microsoft 365) ашиглан ноорог имэйл‑ээр C&C харилцах FriendDelivery BoxOfFriends‑ийг ачааллах loader
👉 Анхаарах зүйл: Эдгээрийн ихэнх нь жирийн business traffic шиг харагддаг, тиймээс илрүүлэхэд хүндрэлтэй.
ESET-н судлаачид халдагчдын Slack, Discord API token‑уудыг илрүүлж хэдэн мянган бодит C&C мессеж, Outlook‑ийн ноорог имэйлүүдийг сэргээж чадсан байна. Ингэснээр:
- Халдагчид UTC+8 (Хятадын стандарт цаг)‑ийн 08:00–17:00 хооронд идэвхтэй ажилладаг
- Slack‑ийн хэрэглэгчийн locale мөн UTC+8
- VMware‑д суурилсан туршилтын машин хэрэглэдэг
- Outlook C&C аккаунт malware‑аас 11 хоногийн өмнө зориудаар бэлдэгдсэн
👉 Эдгээр баримтад тулгуурлан Хятадын талд хамаарах APT бүлэг гэж дүгнэсэн байна.
GopherWhisper APT бүлэг илэрсэнтэй холбоотойгоор бид дараах зөвлөмжийг хэрэглэгчиддээ хүргэж байна:
❗ “Манайх Slack, Outlook л ашигладаг” гэдэг нь эрсдлээс хамгаалж байна гэсэн үг биш
- Cloud үйлчилгээ = аюулгүй хэвшмэл ойлголт юм
- APT бүлгүүд cloud‑ийг C&C, датаг гадагшлуулах, халдлагаа нуух хэрэгсэл болгон ашиглаж байна.
❗Cloud ба endpoint‑ийн эрсдэлийг стратегийн түвшинд харах
- “Манай firewall сайн” гэдгээр хязгаарлагдахгүй байх
- Endpoint, cloud, identity‑г хамтад нь харсан хамгаалалт шаардлагатай
❗Threat intelligence‑д суурилсан шийдвэр гаргалт
- Зөвхөн тухайн APT‑ийн онцлогт биш олон талт мэдээлэл дээр ажиллах
- Судалгаанд суурилсан (ESET Research гэх мэт) шийдэл чухал
❗EDR/XDR заавал ашиглах
- Процесс дотор inject хийсэн malware‑ийг илрүүлэхэд чухал
❗Slack, Discord, Outlook usage audit
- Байгууллагын орчинд Slack webhook, API token, Outlook Graph API access, Ер бусын draft email activity‑г хянах
❗Network traffic-т анализ хийх
- Discord, Slack руу server биш endpoint холбогдож байна уу? command‑like pattern байна уу? гэдгийг шинжлэх
❗IoC‑ийг тогтмол шинэчлэх
- ESET‑ийн white paper + GitHub IoC‑уудыг SOC‑д оруулах
Дүгнэлт:
GopherWhisper APT групп нь
- Монгол Улсыг бодитоор онилсон
- Cloud‑д суурилсан,
- Илрүүлэхэд хэцүү,
- Урт хугацаанд дотоод хяналт тогтоох чадвартай орчин үеийн APT халдлагын жишээ юм.
Ийм халдлагаас хамгаалахын тулд зөвхөн технологи биш, мэдлэг, ил тод байдал, тасралтгүй хяналт шаардлагатай.
Дэлгэрэнгүй техник шинжилгээ, IoC‑ууд‑ыг ESET‑ийн албан ёсны white paper -с танилцахыг зөвлөж байна.
GopherWhisper: Монголын төрийн байгууллагыг онилсон шинэ APT групп
ESET‑ийн судалгааны баг өмнө нь бүртгэгдэж байгаагүй, Хятадын талд хамааралтай GopherWhisper APT бүлгийг илрүүлж нийтэд зарлалаа. Энэхүү халдлагын бүлэг нь Монгол Улсын төрийн нэг байгууллагыг бодитоор онилсон халдлага явуулсан нь тогтоогдлоо. Ихэвчлэн Go хэл дээр бичигдсэн олон төрлийн backdoor, тэдгээрийг тараах loader, injector‑ууд, мөн Slack, Discord, Microsoft 365 Outlook зэрэг ердийн, итгэмжлэгдсэн cloud үйлчилгээ‑г команд удирдлага (C&C)‑даа ашигласнаараа онцлог байна. Энэ нь уламжлалт “сэжигтэй сервер рүү холбогддог malware”‑аас ялгаатай бөгөөд байгууллагын өдөр тутам ашигладаг IT үйлчилгээ дундуур далд ажиллагаа явуулсан илүү аюултай загвар юм.
Илэрсэн халдлагын ерөнхий зураг
Яагаад эрсдэл өндөр вэ?
- Тус халдлага нь шинэ, өмнө нь танигдаагүй malware‑аар хийгдсэн
- Одоогийн олон хамгаалалтын системд (signature‑д суурилсан) анхандаа баригдахгүй
- Slack, Discord, Outlook зэрэг итгэлтэй домэйн ашигласан тул firewall, proxy‑гоор чөлөөтэй нэвтэрсэн
Монголд чиглэсэн бодит халдлага
- 2025 оны 1‑р сард Монголын төрийн байгууллагын системээс LaxGopher нэртэй backdoor илэрсэн
- Дараагийн шинжилгээгээр ижил бүлгийн өөр олон malware мөн илэрсэн
- Код, техник, TTP хувьд ямар ч өмнөх APT‑тай давхцалгүй → шинэ бүлэг гэж дүгнэсэн
GopherWhisper‑ийн ашигласан гол хэрэгслүүд
| Хэрэгслийн нэр | Үүрэг, эрсдэл |
|---|---|
| JabGopher | Backdoor‑ыг системийн процесс (svchost.exe) дотор “нууж” ажиллуулна |
| LaxGopher | Slack‑аар дамжуулж команд авч, системийг хянах, файл татах |
| RatGopher | Discord ашиглан ижил үүрэг гүйцэтгэнэ |
| CompactGopher | Файлуудыг шахаж, file.io‑р дамжуулан гадагш мэдээлэл алдах |
| SSLORDoor | 443 порт ашиглан шууд файлын удирдлага хийх |
| BoxOfFriends | Outlook (Microsoft 365) ашиглан ноорог имэйл‑ээр C&C харилцах |
| FriendDelivery | BoxOfFriends‑ийг ачааллах loader |
👉 Анхаарах зүйл: Эдгээрийн ихэнх нь жирийн business traffic шиг харагддаг, тиймээс илрүүлэхэд хүндрэлтэй.
ESET-н судлаачид халдагчдын Slack, Discord API token‑уудыг илрүүлж хэдэн мянган бодит C&C мессеж, Outlook‑ийн ноорог имэйлүүдийг сэргээж чадсан байна. Ингэснээр:
- Халдагчид UTC+8 (Хятадын стандарт цаг)‑ийн 08:00–17:00 хооронд идэвхтэй ажилладаг
- Slack‑ийн хэрэглэгчийн locale мөн UTC+8
- VMware‑д суурилсан туршилтын машин хэрэглэдэг
- Outlook C&C аккаунт malware‑аас 11 хоногийн өмнө зориудаар бэлдэгдсэн
👉 Эдгээр баримтад тулгуурлан Хятадын талд хамаарах APT бүлэг гэж дүгнэсэн байна.
GopherWhisper APT бүлэг илэрсэнтэй холбоотойгоор бид дараах зөвлөмжийг хэрэглэгчиддээ хүргэж байна:
❗ “Манайх Slack, Outlook л ашигладаг” гэдэг нь эрсдлээс хамгаалж байна гэсэн үг биш
- Cloud үйлчилгээ = аюулгүй хэвшмэл ойлголт юм
- APT бүлгүүд cloud‑ийг C&C, датаг гадагшлуулах, халдлагаа нуух хэрэгсэл болгон ашиглаж байна.
❗Cloud ба endpoint‑ийн эрсдэлийг стратегийн түвшинд харах
- “Манай firewall сайн” гэдгээр хязгаарлагдахгүй байх
- Endpoint, cloud, identity‑г хамтад нь харсан хамгаалалт шаардлагатай
❗Threat intelligence‑д суурилсан шийдвэр гаргалт
- Зөвхөн тухайн APT‑ийн онцлогт биш олон талт мэдээлэл дээр ажиллах
- Судалгаанд суурилсан (ESET Research гэх мэт) шийдэл чухал
❗EDR/XDR заавал ашиглах
- Процесс дотор inject хийсэн malware‑ийг илрүүлэхэд чухал
❗Slack, Discord, Outlook usage audit
- Байгууллагын орчинд Slack webhook, API token, Outlook Graph API access, Ер бусын draft email activity‑г хянах
❗Network traffic-т анализ хийх
- Discord, Slack руу server биш endpoint холбогдож байна уу? command‑like pattern байна уу? гэдгийг шинжлэх
❗IoC‑ийг тогтмол шинэчлэх
- ESET‑ийн white paper + GitHub IoC‑уудыг SOC‑д оруулах
Дүгнэлт:
GopherWhisper APT групп нь
- Монгол Улсыг бодитоор онилсон
- Cloud‑д суурилсан,
- Илрүүлэхэд хэцүү,
- Урт хугацаанд дотоод хяналт тогтоох чадвартай орчин үеийн APT халдлагын жишээ юм.
Ийм халдлагаас хамгаалахын тулд зөвхөн технологи биш, мэдлэг, ил тод байдал, тасралтгүй хяналт шаардлагатай.
Дэлгэрэнгүй техник шинжилгээ, IoC‑ууд‑ыг ESET‑ийн албан ёсны white paper -с танилцахыг зөвлөж байна.