В апреле этого года эксперты по информационной безопасности зафиксировали сложную многоэтапную атаку, нацеленную на корпоративную инфраструктуру. Инцидент примечателен не только комбинацией классических методов, но и активным использованием децентрализованных технологий и облачных платформ. Злоумышленники смогли незаметно проникнуть в сеть, закрепиться и в конечном итоге развернуть программу-вымогатель The Gentlemen, что привело к шифрованию данных в масштабах всего домена.
Описание
Всё началось с того, что сотрудник организации запустил вредоносный MSI-установщик. Внешне он маскировался под официальную утилиту RAMMap из пакета Sysinternals от Microsoft. На самом деле этот файл разворачивал на компьютере вариант вредоносной программы EtherRAT. Данное семейство было впервые описано ещё в конце 2025 года, когда атакующие использовали уязвимость CVE-2025-55182 (React2Shell) для проникновения на серверы Linux. К марту 2026 года, как сообщали другие исследователи, появилась версия для Windows. Апрельский инцидент подтвердил, что злоумышленники активно развивают этот инструмент.
Ключевая особенность EtherRAT - использование технологии EtherHiding для получения команд. Вредоносное ПО после запуска обращалось к блокчейну Ethereum через сервис 1rpc.io, извлекая оттуда конфигурацию командно-контрольного сервера (C2). Это делало атаку устойчивой к традиционным методам блокировки: даже если текущий C2-адрес был выявлен и заблокирован, злоумышленники просто обновляли запись в смарт-контракте. Причём на момент первоначального запуска активная C2-инфраструктура вообще отсутствовала. Угроза появилась лишь после того, как атакующие изменили конфигурацию, указав новый туннель через TryCloudflare. В тот же период они добавили несколько ложных доменов, чтобы запутать аналитиков при отслеживании трафика.
После установки связи EtherRAT провёл обширную разведку. Он собирал информацию о системе, установленном антивирусе, членстве в домене, а также через протокол LDAP выяснял активность пользователей. Затем из облачных хранилищ S3 были загружены дополнительные модули. В частности, на машины попала вредоносная программа TukTuk. Судя по анализу, этот код был сгенерирован с помощью искусственного интеллекта. Для маскировки TukTuk использовал подмену легитимных приложений: вместо оригинальных Greenshot, SyncTrayzor, DocFX и Cake злоумышленники подкладывали вредоносные DLL-библиотеки, которые загружались через механизм sideloading.
Архитектура TukTuk оказалась ещё более изощрённой. Для связи с командно-контрольными серверами он задействовал облачные SaaS-платформы ClickHouse и Supabase, а в качестве резервных каналов - сервисы Ably, Dropbox, прямые HTTP-соединения и даже Issues на GitHub. Кроме того, TukTuk умел использовать блокчейн Arweave как dead-drop resolver: запрашивал определённый идентификатор в этой децентрализованной сети и получал зашифрованный конфигурационный блок с учётными данными для всех поддерживаемых транспортов. Правда, исследователи не смогли подтвердить, что эта возможность была задействована в описанном инциденте, но сам факт её наличия говорит о высоком уровне подготовки атакующих.
В отчёте эксперты подробно описали дальнейшие действия. После развёртывания TukTuk злоумышленники перешли к работе вручную. Они провели атаку Kerberoasting (извлечение хэшей паролей от учётных записей служб) и начали активный поиск учётных данных администраторов. Используя скомпрометированные сервисные аккаунты, они установили легитимное средство удалённого управления GoTo Resolve на множество систем, включая контроллеры домена. Затем последовало перемещение по сети через RDP, SMB и WinRM, а также запуск инструментов NetExec (nxc), Mimikatz и дамперов LSASS и NTDS. Злоумышленники сбрасывали пароли привилегированных учётных записей и проводили масштабную разведку Active Directory. Параллельно они использовали утилиту Rclone для копирования больших объёмов конфиденциальных данных в облачное хранилище Wasabi.
На третий день вторжения началась финальная стадия. Перед запуском программы-вымогателя атакующие отключили защиту Microsoft Defender, добавили исключения для антивируса, остановили виртуальные машины, удалили теневые копии томов, очистили журналы событий и уничтожили криминалистические артефакты. Само распространение ransomware было организовано через вредоносный объект групповой политики (GPO). Он запускал исполняемые файлы, расположенные в папках SYSVOL и NETLOGON, на всех компьютерах домена с помощью запланированных задач. Программа-вымогатель The Gentlemen зашифровала данные, изменила обои рабочего стола и оставила записки с требованиями выкупа.
Этот инцидент наглядно демонстрирует, как современные угрозы сочетают традиционные методы социальной инженерии с передовыми технологиями блокчейна и облачных сервисов. Использование децентрализованных сетей для управления и облачных платформ для хранения данных серьёзно осложняет обнаружение и блокировку вредоносной активности. Организациям следует тщательно контролировать исходящие соединения к нестандартным сервисам, вести реестр разрешённых инструментов удалённого управления (RMM) и своевременно обновлять сигнатуры для выявления аномалий. Только комплексный подход к мониторингу и защите может снизить риск повторения подобных атак.
Индикаторы компрометации
Domains
- 1rpc.io
- borjumaniya.store
- ep-lively-cherry-a80bmwii.eastus2.azure.neon.tech
- k135neflez.westus3.azure.clickhouse.cloud
- muurfzqprzmdkzoibxaz.supabase.co
- vefbdzzuaadnascpeqcn.supabase.co
- vngz3ntdrb.us-east1.gcp.clickhouse.cloud
URLs
- https://afford-effect-construct-tricks.trycloudflare.com
- https://entered-medications-motherboard-advanced.trycloudflare.com
- https://fields-pct-easier-vancouver.trycloudflare.com
- https://howto-tar-naturals-coordination.trycloudflare.com
- https://mode-exit-legendary-trusted.trycloudflare.com
- https://rapids-lil-lending-charleston.trycloudflare.com
- https://seasonal-estimation-heating-necessarily.trycloudflare.com
- https://walt-messaging-affairs-occurring.trycloudflare.com
- https://when-architectural-cdna-faster.trycloudflare.com
- https://witch-skins-lip-coal.trycloudflare.com
- https://workshop-lighting-protective-customs.trycloudflare.com
MD5
- 73ce2438d4ed475e03727b7b000d2794
- 77fbe265fd65c7f7b6d323fb6de6a4fd
- b188fbc6ff5557767e73e4c883a553a3
- b2d51212744f404714fd909e87254d98
- c92cf9a1af5b1fe25cdcb8771ce52be4
- f985b8d6d635c266fc4779dad77aa75c
SHA1
- 114ec028a3fc4ed50056ee8166b0c39acff6ff03
- 3d5ee8429ef00824c0351cba507dfeb92b54f83b
- aa9218994798ae31a19d3e7e39cfac2e2ee55840
- b44c8084b88d31113ee51758740eb84c251bdae8
- ba80d7b038758a129861e1e498e462cc3d68ae20
- c98ee41f09ae079a5643626f57eb84f92205bb2b
SHA256
- 1795eacd2c58894ccdd6be8854fe6456c3b069a3a873432343b57b475b256aee
- 19021e53b9929fdf4b7d0e0707434d56bb73c1a9b7403c8837b44d1c417198dc
- 2d4b4bb18b8445e49eeda571982874403befcecf78266e3d405f6529d98bee46
- 4142d5efd4ea2abab77f2f0a917610e2ff976bf9e19d7ad1e9156eccdc5412db
- 8c2665adf8bfab65463f2a9bd1b7bb0231de3f5c1e6a2e51479e44aaac2e7bf0
- d9487fdc097f770e5661f9e5dee130068cb179d33716abff1a21c8cb901f25a6
