Группировка YoroTrooper продолжает наращивать активность. Специалисты 360 Advanced Threat Research зафиксировали свежую волну атак на правительственные учреждения и дипломатические ведомства стран Содружества Независимых Государств. Жертвами стали сотрудники госаппарата Узбекистана и представители Донецкой Народной Республики. Злоумышленники применили сложную многоступенчатую схему проникновения, использующую легитимные сервисы и самодельные вредоносные инструменты.
Описание
Сама группировка известна с 2021 года. Под разными псевдонимами - SilentLynx, Tomiris, Cavalry Werewolf - её участники вели целенаправленный шпионаж против энергетических компаний, государственных органов и критической инфраструктуры в Центральной Азии, Европе и на Ближнем Востоке. Их главная задача - сбор разведданных, перехват закрытой переписки и извлечение секретных документов для поддержки геополитических решений. За три года активность YoroTrooper не снизилась, а только возросла: арсенал пополнился новыми образцами вредоносного кода, а сами атаки стали более скрытными.
Нынешняя кампания началась с рассылки в мессенджере Telegram. Атакующие отправили жертве архив под именем Temp_rar.rar, который при открытии запускал цепочку заражения. Внутри архива содержались исполняемые файлы, замаскированные под системные компоненты. Это типичный приём социальной инженерии, характерный для данной группы, - использовать популярные мессенджеры для доставки опасных вложений.
После запуска вредоносные компоненты закреплялись в системе. Для этого применялся модуль Netsrvc. Он регистрировал себя как службу Windows с обманным названием "The Network Discovery Service". Описание и имя были скопированы у легитимной сетевой службы, чтобы не вызывать подозрений у администраторов. Служба получала статус автоматического запуска при старте системы и работала с максимальными привилегиями SYSTEM. Отдельная функция-наблюдатель каждые пять часов проверяла, не завершился ли основной процесс. Если процесс падал или его убивали, наблюдатель немедленно перезапускал его. Такой механизм обеспечивал живучесть даже после попыток удаления.
В ходе кампании были обнаружены и варианты этой техники. Злоумышленники создали похожую службу SSDSPSRV - намеренная опечатка в имени, чтобы выглядеть как системная служба SSDP Discovery. Она запускала другой модуль srvdriv.exe, который связывался с управляющим сервером (C2) по адресу 212.193.2.162:8443.
Основные компоненты удалённого управления представляли собой обратные оболочки ReverseShell. Одна из них - Laplas - устанавливала шифрованное TLS-соединение с сервером updates-check-microsoft.ddns.net на порту 443. Для маскировки трафика использовалась криптография OpenSSL, а сертификаты сервера не проверялись, что упрощало подмену. Laplas запускала cmd.exe, перенаправляла ввод-вывод через Windows-каналы в зашифрованный сокет. Так оператор получал полный контроль над командной строкой атакованного компьютера, не оставляя прямых следов в обычном трафике.
Второй вариант - hosts-ReverseShell - работал по обычному TCP без шифрования, но применял сложные методы обхода систем обнаружения. Использовалась стековая обфускация строк: адрес сервера собирался по частям только в памяти, что мешало антивирусам выявить его в файле. Кроме того, код проверял микроархитектурные особенности процессора, чтобы отличить работу на реальном железе от запуска внутри песочницы или эмулятора. При обнаружении такой среды программа просто завершалась.
Третий образец - C#SSLrevshelll - был написан на платформе .NET и обладал похожей логикой. Он прятал окно консоли, подключался к серверу 45.130.146.197:443 по TLS, игнорируя ошибки сертификата. Встроенная система повторных подключений пыталась восстановить связь каждые пять секунд, если соединение разрывалось. Появление версии на .NET показывает, что создатели YoroTrooper расширяют языковую базу своих инструментов, чтобы усложнить сигнатурный анализ.
Все собранные данные указывают на высокую вероятность того, что атаки совершены именно YoroTrooper. В отчёте 360 Advanced Threat Research подчёркивается полное совпадение с историческим профилем группы: жертвы - правительственные структуры в зоне геополитических интересов, начальный вектор - Telegram с архивом, методы закрепления - службы с подменой имени, инфраструктура - динамические домены, стилизованные под легитимные сервисы Microsoft. Группа продолжает адаптироваться, комбинируя готовые открытые компоненты с собственными разработками. Для защиты от подобных атак специалистам по безопасности стоит уделять особое внимание исходящему трафику от служебных процессов, проверять нестандартные службы автозапуска и обучать персонал правилам обращения с файлами из мессенджеров. Однако главный вывод тревожный: спустя годы публичных разоблачений YoroTrooper не свернул деятельность, а лишь усовершенствовал тактику, оставаясь одной из серьёзных угроз для стран постсоветского пространства.
Индикаторы компрометации
IPv4 Port Combinations
- 212.193.2.162:8443
- 45.130.146.197:443
- 45.130.146.197:80
Domains
- microsoft-updates-windows.servehttp.com
- updates-check-microsoft.ddns.net
MD5
- 02489f4e0fede5dcb8966e840e0adbbf
- 0ae77c4ba8f8e8100c8889de3e64f48b
- 19319ac8398ce44bddf8cb56e90de9e0
- 365a6d29a9b45c155c6e7d2704f1192d
- 3cfeb84d4a5dde2cf789ebd8d3006029
- 3f9ee4b62da9a197b9380f6594aeef12
- 5148c3ed171faf38bb33cab45307c245
- 55655d252dcc2d5e1168d30fff2b5e48
- 5864668137c23d7248bbb137a5e43d07
- 5dc74828289a95682f3cfbb8ac47a624
- 63ae17d887528e335080dcd73d4c5af3
- 8fc604898e84fc7bf349e8359cd4a125
- c05c4deddf9f4e4ec43cc510af903b9f
- c2cc85e71cd58a78d2c1f336771533a9
- d3e3d99b077a4193b1d93b604b096456
- e8e1555d1f8b3b56e30f2baaaffc491f
- eb9fef447c5e883c0af807992f450b60
- eeab58e64ed72098f778cda42537883c
- f67337f2dcb3136fb687f901c66b34f7
- f9446fc64a6c06a94979b5ee311f7673
