- 24,337
- 46
- 8 Ноя 2022
Цена клика по фальшивому документу может оказаться фатальной.
Группировка APT-C-28, известная также под названиями ScarCruft и Konni, расширила направление своих операций и начала целевые атаки на криптовалютные компании и команды Web3. Новую волну активности зафиксировала команда 360 Advanced Threat Research Institute во время регулярного мониторинга целевых угроз. Кампания сочетает точечный фишинг, многоступенчатую загрузку вредоносного кода и ранее не описанный инструмент удалённого управления.
В ходе атак злоумышленники рассылают ZIP-архивы с приманкой, связанной с инвестиционными предложениями на суммы от 1 до 3 млн долларов. Внутри находится документ и ярлык LNK, замаскированный под PDF-файл с профилем инвестора. Названия файлов подобраны так, чтобы выглядеть частью деловой переписки по финансированию стартапов. Запуск ярлыка приводит к скрытому выполнению цепочки команд, которые находят PowerShell в системе, расшифровывают встроенный код и загружают первую стадию вредоносного модуля напрямую в память.
Первая стадия проводит проверку среды на наличие песочниц и облачных платформ. При обнаружении признаков виртуальной инфраструктуры дальнейшая загрузка не выполняется. Если проверка проходит успешно, собираются сведения о системе, процессах и пользовательских файлах, после чего данные отправляются на удалённый сервер. Затем подтягивается следующий компонент, который использует легитимный интерпретатор AutoIt для запуска скрытого скрипта.
Финальным инструментом становится бэкдор MiradorShell версии 2.0. Он поддерживает удалённое выполнение команд, передачу файлов, просмотр каталогов, удаление данных и запуск программ. Управление строится через обратное соединение с командным сервером по TCP. Для устойчивости используется механизм взаимного исключения и создаётся запланированное задание с регулярным запуском каждые 5 минут. Идентификатор заражённой машины формируется на основе параметров оборудования.
Отдельное внимание привлекла инфраструктура управления. В ряде случаев загрузка модулей происходила с домена южнокорейской технологической компании Techcross-WNE. По структуре путей и используемой библиотеке авторы исследования предполагают компрометацию сайта и размещение вредоносных файлов внутри каталога плагинов. Такой подход помогает маскировать сетевой трафик под легитимный ресурс.
По совокупности признаков, включая стиль кода, схему с LNK-файлами, формат сетевых запросов и механизм закрепления, операцию отнесли к APT-C-28. Активность группы наблюдается с 2014 года и традиционно была сосредоточена на государственном секторе Корейского полуострова, однако теперь в зону интересов всё чаще попадают криптовалютные проекты.
Группировка APT-C-28, известная также под названиями ScarCruft и Konni, расширила направление своих операций и начала целевые атаки на криптовалютные компании и команды Web3. Новую волну активности зафиксировала команда 360 Advanced Threat Research Institute во время регулярного мониторинга целевых угроз. Кампания сочетает точечный фишинг, многоступенчатую загрузку вредоносного кода и ранее не описанный инструмент удалённого управления.
В ходе атак злоумышленники рассылают ZIP-архивы с приманкой, связанной с инвестиционными предложениями на суммы от 1 до 3 млн долларов. Внутри находится документ и ярлык LNK, замаскированный под PDF-файл с профилем инвестора. Названия файлов подобраны так, чтобы выглядеть частью деловой переписки по финансированию стартапов. Запуск ярлыка приводит к скрытому выполнению цепочки команд, которые находят PowerShell в системе, расшифровывают встроенный код и загружают первую стадию вредоносного модуля напрямую в память.
Первая стадия проводит проверку среды на наличие песочниц и облачных платформ. При обнаружении признаков виртуальной инфраструктуры дальнейшая загрузка не выполняется. Если проверка проходит успешно, собираются сведения о системе, процессах и пользовательских файлах, после чего данные отправляются на удалённый сервер. Затем подтягивается следующий компонент, который использует легитимный интерпретатор AutoIt для запуска скрытого скрипта.
Финальным инструментом становится бэкдор MiradorShell версии 2.0. Он поддерживает удалённое выполнение команд, передачу файлов, просмотр каталогов, удаление данных и запуск программ. Управление строится через обратное соединение с командным сервером по TCP. Для устойчивости используется механизм взаимного исключения и создаётся запланированное задание с регулярным запуском каждые 5 минут. Идентификатор заражённой машины формируется на основе параметров оборудования.
Отдельное внимание привлекла инфраструктура управления. В ряде случаев загрузка модулей происходила с домена южнокорейской технологической компании Techcross-WNE. По структуре путей и используемой библиотеке авторы исследования предполагают компрометацию сайта и размещение вредоносных файлов внутри каталога плагинов. Такой подход помогает маскировать сетевой трафик под легитимный ресурс.
По совокупности признаков, включая стиль кода, схему с LNK-файлами, формат сетевых запросов и механизм закрепления, операцию отнесли к APT-C-28. Активность группы наблюдается с 2014 года и традиционно была сосредоточена на государственном секторе Корейского полуострова, однако теперь в зону интересов всё чаще попадают криптовалютные проекты.
- Источник новости
- www.securitylab.ru
