- 24,902
- 46
- 8 Ноя 2022
Грань между полезными файлами и вирусами стала почти неразличимой.
За последний год в Южной Азии заметно выросло число шпионских атак на государственные структуры и операторов критической инфраструктуры. Команда Arctic Wolf описала кампанию , которую с умеренной уверенностью связывает с группировкой SloppyLemming, также известной как Outrider Tiger и Fishing Elephant. Целями стали организации в Пакистане и Бангладеш, а сама операция, по оценке авторов отчёта, длилась как минимум с января 2025 года по январь 2026 года и сопровождалась расширением инфраструктуры и набора инструментов.
В кампании применяли две разные цепочки заражения. Первая начиналась с фишинговых писем с PDF-приманкой. Документ побуждал перейти по ссылке, которая вела на манифест ClickOnce. Дальше на устройство загружали набор файлов для DLL Sideloading : легитимный исполняемый файл Microsoft .NET Framework NGenTask.exe, замаскированный под OneDrive.exe, и вредоносную библиотеку mscorsvc.dll. Загрузчик расшифровывал RC4-ключом зашифрованный блок данных и запускал в памяти x64-имплант BurrowShell.
BurrowShell работал как полноценная бэкдор-платформа . Имплант поддерживал операции с файлами, снимки экрана, удалённый запуск команд и туннелирование трафика через SOCKS-прокси. Обмен с управляющей инфраструктурой маскировали под обращения службы обновлений Windows, а полезную нагрузку защищали симметричным шифрованием.
Вторая цепочка использовала Excel-файлы с макросами . Макрос скачивал компоненты в каталог ProgramData и запускал легитимный phoneactivate.exe, переименованный в audiodg.exe, который загружал рядом расположенную вредоносную DLL. Основной нагрузкой оказался троян удалённого доступа с кейлоггером, написанный на Rust. Помимо перехвата нажатий клавиш, модуль выполнял разведку сети, включая сканирование портов и обнаружение хостов, а также поддерживал команды для работы с файлами и запуск процессов.
Отдельное внимание Arctic Wolf уделила инфраструктуре. За рассматриваемый период нашли 112 доменов на Cloudflare Workers, имитирующих государственные и отраслевые организации Пакистана и Бангладеш. Пик регистраций пришёлся на июль 2025 года, когда появилось 42 домена. Три узла оказались настроены как открытые каталоги, из-за чего стали доступны подготовленные компоненты вредоносного ПО, включая загрузчики фреймворка Havoc с различными ключами RC4.
По данным отчёта, выбор целей укладывается в логику кибершпионажа . В Пакистане интерес проявляли к структурам, связанным с обороной, телекомом и ядерным регулированием, в Бангладеш — к энергетике и финансовому сектору. Авторы также рассмотрели пересечения с тактиками SideWinder, но указали на различия в инструментах и признаках инфраструктуры.
За последний год в Южной Азии заметно выросло число шпионских атак на государственные структуры и операторов критической инфраструктуры. Команда Arctic Wolf описала кампанию , которую с умеренной уверенностью связывает с группировкой SloppyLemming, также известной как Outrider Tiger и Fishing Elephant. Целями стали организации в Пакистане и Бангладеш, а сама операция, по оценке авторов отчёта, длилась как минимум с января 2025 года по январь 2026 года и сопровождалась расширением инфраструктуры и набора инструментов.
В кампании применяли две разные цепочки заражения. Первая начиналась с фишинговых писем с PDF-приманкой. Документ побуждал перейти по ссылке, которая вела на манифест ClickOnce. Дальше на устройство загружали набор файлов для DLL Sideloading : легитимный исполняемый файл Microsoft .NET Framework NGenTask.exe, замаскированный под OneDrive.exe, и вредоносную библиотеку mscorsvc.dll. Загрузчик расшифровывал RC4-ключом зашифрованный блок данных и запускал в памяти x64-имплант BurrowShell.
BurrowShell работал как полноценная бэкдор-платформа . Имплант поддерживал операции с файлами, снимки экрана, удалённый запуск команд и туннелирование трафика через SOCKS-прокси. Обмен с управляющей инфраструктурой маскировали под обращения службы обновлений Windows, а полезную нагрузку защищали симметричным шифрованием.
Вторая цепочка использовала Excel-файлы с макросами . Макрос скачивал компоненты в каталог ProgramData и запускал легитимный phoneactivate.exe, переименованный в audiodg.exe, который загружал рядом расположенную вредоносную DLL. Основной нагрузкой оказался троян удалённого доступа с кейлоггером, написанный на Rust. Помимо перехвата нажатий клавиш, модуль выполнял разведку сети, включая сканирование портов и обнаружение хостов, а также поддерживал команды для работы с файлами и запуск процессов.
Отдельное внимание Arctic Wolf уделила инфраструктуре. За рассматриваемый период нашли 112 доменов на Cloudflare Workers, имитирующих государственные и отраслевые организации Пакистана и Бангладеш. Пик регистраций пришёлся на июль 2025 года, когда появилось 42 домена. Три узла оказались настроены как открытые каталоги, из-за чего стали доступны подготовленные компоненты вредоносного ПО, включая загрузчики фреймворка Havoc с различными ключами RC4.
По данным отчёта, выбор целей укладывается в логику кибершпионажа . В Пакистане интерес проявляли к структурам, связанным с обороной, телекомом и ядерным регулированием, в Бангладеш — к энергетике и финансовому сектору. Авторы также рассмотрели пересечения с тактиками SideWinder, но указали на различия в инструментах и признаках инфраструктуры.
- Источник новости
- www.securitylab.ru
