- 26,366
- 46
- 8 Ноя 2022
Новый вирус GHOSTFORM запускается в памяти компьютера и скрывается от антивирусов.
Хакеры, предположительно связанные с Ираном, развернули новую кампанию против иракских чиновников и использовали для атак сразу несколько ранее неизвестных вредоносных программ. В ходе операции злоумышленники маскировались под Министерство иностранных дел Ирака и распространяли зараженные файлы, которые выглядели как служебные документы.
Специалисты компании Zscaler обнаружили активность в январе 2026 года. Кампанию связали с группировкой, получившей условное название Dust Specter. По оценке специалистов, инструменты и методы работы совпадают с приемами других иранских хакерских групп.
Злоумышленники применяли два разных сценария атаки. В первом случае использовали цепочку из нескольких вредоносных программ: SPLITDROP, TWINTASK и TWINTALK. Во втором сценарии работала другая программа под названием GHOSTFORM, которая объединяет функции всех компонентов в одном файле.
Первая схема начиналась с архива RAR под названием mofa-Network-code.rar, защищенного паролем. Внутри находился файл, замаскированный под приложение WinRAR . После запуска программа SPLITDROP показывала окно ввода пароля для распаковки архива. Пока пользователь взаимодействовал с окном, вредоносная программа расшифровывала скрытые файлы и сохраняла их в каталог C:\ProgramData\PolGuid.
Далее запускался легитимный медиаплеер VLC . Вместе с ним загружалась поддельная библиотека libvlc.dll. Этот компонент получил название TWINTASK. Модуль постоянно проверял файл с командами и каждые 15 секунд пытался получить новые инструкции. Полученные команды запускались через PowerShell, а результаты сохранялись в отдельный файл.
Чтобы закрепиться в системе, вредоносная программа добавляла записи в реестр Windows и обеспечивала автоматический запуск после перезагрузки компьютера. В той же цепочке появлялся еще один компонент – TWINTALK. Он работал как координатор связи с управляющим сервером.
TWINTALK регулярно связывался с сервером управления и получал команды. Запросы маскировались под обычный трафик браузера и использовали случайные адреса. Сервер также проверял географию подключения и строку User-Agent, чтобы отсеивать системы анализа вредоносного кода. Команды позволяли выполнять код, загружать файлы или отправлять данные с зараженного компьютера.
Во второй схеме атаки злоумышленники использовали вредоносную программу GHOSTFORM. Она объединяет весь функционал предыдущей цепочки в одном исполняемом файле и выполняет команды прямо в памяти , почти не оставляя следов на диске.
GHOSTFORM применяет необычный способ задержки запуска. Программа создает невидимое окно Windows с минимальным размером и прозрачностью. После заданного таймера окно закрывается, и вредоносный код продолжает работу. Такой прием помогает обходить средства защиты, которые пытаются выявить подозрительную активность сразу после запуска программы.
Для обмана жертв злоумышленники использовали страницу Google Forms . Опрос на арабском языке выдавал себя за официальную анкету Министерства иностранных дел Ирака. Ссылку на форму программа открывала автоматически после запуска.
Анализ кода показал еще одну необычную деталь. В исходных фрагментах вредоносных программ встречаются эмодзи и необычные строки Unicode. Такой стиль кода может указывать на использование генеративных систем искусственного интеллекта при разработке вредоносного ПО.
Специалисты также нашли следы другой атаки той же группировки. В 2025 году домен meetingapp.site использовали для поддельного приглашения на встречу Cisco Webex. Жертве предлагали скачать программу для видеоконференции и выполнить инструкцию для получения идентификатора встречи. На деле инструкция запускала команду PowerShell, которая загружала вредоносный файл и добавляла его в планировщик заданий Windows для регулярного запуска.
Атрибуцию кампании связывают с Dust Specter с умеренной уверенностью. На связь с иранскими хакерами указывают цели атаки, используемые инструменты и характерные приемы. В частности, злоумышленники применяли легкие бэкдоры на платформе .NET, ограниченный набор команд управления и скрывали идентификаторы зараженных систем внутри заголовков HTTP-запросов.
Хакеры, предположительно связанные с Ираном, развернули новую кампанию против иракских чиновников и использовали для атак сразу несколько ранее неизвестных вредоносных программ. В ходе операции злоумышленники маскировались под Министерство иностранных дел Ирака и распространяли зараженные файлы, которые выглядели как служебные документы.
Специалисты компании Zscaler обнаружили активность в январе 2026 года. Кампанию связали с группировкой, получившей условное название Dust Specter. По оценке специалистов, инструменты и методы работы совпадают с приемами других иранских хакерских групп.
Злоумышленники применяли два разных сценария атаки. В первом случае использовали цепочку из нескольких вредоносных программ: SPLITDROP, TWINTASK и TWINTALK. Во втором сценарии работала другая программа под названием GHOSTFORM, которая объединяет функции всех компонентов в одном файле.
Первая схема начиналась с архива RAR под названием mofa-Network-code.rar, защищенного паролем. Внутри находился файл, замаскированный под приложение WinRAR . После запуска программа SPLITDROP показывала окно ввода пароля для распаковки архива. Пока пользователь взаимодействовал с окном, вредоносная программа расшифровывала скрытые файлы и сохраняла их в каталог C:\ProgramData\PolGuid.
Далее запускался легитимный медиаплеер VLC . Вместе с ним загружалась поддельная библиотека libvlc.dll. Этот компонент получил название TWINTASK. Модуль постоянно проверял файл с командами и каждые 15 секунд пытался получить новые инструкции. Полученные команды запускались через PowerShell, а результаты сохранялись в отдельный файл.
Чтобы закрепиться в системе, вредоносная программа добавляла записи в реестр Windows и обеспечивала автоматический запуск после перезагрузки компьютера. В той же цепочке появлялся еще один компонент – TWINTALK. Он работал как координатор связи с управляющим сервером.
TWINTALK регулярно связывался с сервером управления и получал команды. Запросы маскировались под обычный трафик браузера и использовали случайные адреса. Сервер также проверял географию подключения и строку User-Agent, чтобы отсеивать системы анализа вредоносного кода. Команды позволяли выполнять код, загружать файлы или отправлять данные с зараженного компьютера.
Во второй схеме атаки злоумышленники использовали вредоносную программу GHOSTFORM. Она объединяет весь функционал предыдущей цепочки в одном исполняемом файле и выполняет команды прямо в памяти , почти не оставляя следов на диске.
GHOSTFORM применяет необычный способ задержки запуска. Программа создает невидимое окно Windows с минимальным размером и прозрачностью. После заданного таймера окно закрывается, и вредоносный код продолжает работу. Такой прием помогает обходить средства защиты, которые пытаются выявить подозрительную активность сразу после запуска программы.
Для обмана жертв злоумышленники использовали страницу Google Forms . Опрос на арабском языке выдавал себя за официальную анкету Министерства иностранных дел Ирака. Ссылку на форму программа открывала автоматически после запуска.
Анализ кода показал еще одну необычную деталь. В исходных фрагментах вредоносных программ встречаются эмодзи и необычные строки Unicode. Такой стиль кода может указывать на использование генеративных систем искусственного интеллекта при разработке вредоносного ПО.
Специалисты также нашли следы другой атаки той же группировки. В 2025 году домен meetingapp.site использовали для поддельного приглашения на встречу Cisco Webex. Жертве предлагали скачать программу для видеоконференции и выполнить инструкцию для получения идентификатора встречи. На деле инструкция запускала команду PowerShell, которая загружала вредоносный файл и добавляла его в планировщик заданий Windows для регулярного запуска.
Атрибуцию кампании связывают с Dust Specter с умеренной уверенностью. На связь с иранскими хакерами указывают цели атаки, используемые инструменты и характерные приемы. В частности, злоумышленники применяли легкие бэкдоры на платформе .NET, ограниченный набор команд управления и скрывали идентификаторы зараженных систем внутри заголовков HTTP-запросов.
- Источник новости
- www.securitylab.ru
