Эскалация киберугроз в критических секторах: Новейшие тактики HVV-атак

Атаки HVV (Highly Evasive Adaptive Threats, высокоадаптивные угрозы с высокой степенью уклонения) - это тип кибератак, предназначенных для обхода традиционных мер безопасности. Они характеризуются способностью адаптировать свои методы для избегания обнаружения, часто используя уязвимости в веб-браузерах, веб-приложениях и веб-протоколах. Эти атаки представляют значительный риск для организаций, в значительной степени зависящих от интернет-сервисов и облачной инфраструктуры.

География целей расширилась до стратегических отраслей - финансовой инфраструктуры, энергосистем, государственных облачных платформ, авиации и медиасектора, где атаки демонстрируют отраслевую специфику.

Особую опасность представляют образцы, использующие социальную инженерию. Так, архив "XX工会管理员(XXXX电基地)岗位应聘-刘XX-硕士研究生.zip" с хешем SHA1:84a4d728a21da8bf5995ce412a17da090c3cdcc0 имитирует документ о трудоустройстве. После запуска он проводит многоуровневую проверку окружения: сканирует отладочные регистры DR0-DR3, ищет процессы типа x64dbg.exe, а также сверяет IP через сервис ip.sb для выявления песочниц. Обойдя защиту, вредонос открывает поддельное резюме (.docx), а затем через CLR-среду внедряет код в ilasm.exe, устанавливая скрытый канал управления CobaltStrike на домен 9515hlhj.site.

Аналогично действует образец "XXXX计算机技术有限公司云防火墙本地化部署项目需求对接.zip" (SHA1:d73042e5556f46a917aa23b3ae8055d601990c86). Он использует многоступенчатый side-loading: LNK-файл запускает config.exe, который загружает malicious DLL arphadump64.dll. Параллельно открывается легитимный 4.pdf для отвлечения внимания, а связь с C2-сервером 175.12.74.99 маскируется под легальный домен m.123huodong.com.

В семействе RAR-архивов выделяется "1.rar" (SHA1:c34e4fca8d6335dbf10ee413d6ff6fbb8112e63f). Атака начинается с подмены userenv.dll, после чего explorer.exe загружает шифрованную полезную нагрузку с IP 47.92.91.213. Финал цепочки - двойная инъекция: сначала в explorer.exe, затем в системный сервис WmiPrvSE.exe, что создает "невидимый" канал для CobaltStrike.

Среди исполняемых файлов особого внимания заслуживает "客户端补丁_202507.exe" (SHA1:43e4127f8fec41b4ef4e3450dc546c95c281a8f9). Кастомизированная версия javaws.exe перехватывает потоки выполнения, дешифрует шелл-код в памяти и устанавливает соединение с 36.99.86.14, имитируя трафик Alibaba Cloud. Еще один EXE-образец (SHA1:8c30ccb0add9870b2bf5d720fbc0bc064ade8abd) маскируется под документ страховой компании, сочетая подмену HOSTS-файлов с HTTPS-туннелированием на IP 117.69.71.55.

Отдельно отмечен троян "银狐" ("Серебряная лиса") в sample.zip (SHA1:b3ea09d7f1b62c861d367b435c21ae76e49789e0). Он модифицирует PDFViews.exe, перезаписывая его функции для распаковки шифрованного update.pack и установки TLS-соединения с C2 на 106.53.131.96.

Данные образцы иллюстрируют ключевые тренды: переход к многоэтапным атакам с обфускацией, эксплуатацию доверия к легитимному ПО и точечное таргетирование. Рост сложности нагрузок требует усиления динамического анализа, особенно для выявления скрытых инъекций и замаскированных C2-каналов. Эксперты подчеркивают, что традиционные сигнатурные методы бессильны против таких угроз, а их оперативное выявление возможно лишь через платформы глубокого поведенческого анализа, способные отслеживать полный жизненный цикл атаки - от начальной компрометации до финальной стадии экспфильтации. Учащение инцидентов в критических отраслях подтверждает необходимость межотраслевого обмена тактиками обнаружения для формирования единого контура киберобороны.

IPv4

• 121.196.224.191
• 13.114.145.229
• 18.162.240.37
• 36.99.171.154
• 39.99.144.188
• 54.46.19.123
• 81.70.221.86

Domains

• job2.fdwehzitx.cn

URLs

• http://175.12.74.99/x/space/user/setting/list
• http://223.247.117.56/omp/api/get_page_config
• http://223.247.117.56:80/omp/api/get_page_config
• http://m.123huodong.com.cloud.cdntip.com/x/space/user/setting/list
• https://106.53.131.96:443/omp/api/micro_app/get_org_app
• https://113.125.193.104/
• https://117.69.71.55/c/msdownload/update/others/2021/10/BnkdkVoKtNRf7CvUHIAHCGFMKHLLIDJDKAHPFIKBEMAKNAFDFCLFHCPJHEMDLMFANNIEILFFMNFECEKAGEBINEKGJONFDHLNOHCJEKAKPMIEJKGBJHKHCMGBKAABNBIPFHIKAMGFINLBJDOICFJOLFOGBCCMFHDAKFGECHBPOKINDDKKGBDMKPKELPDJGMGHGJFIIPOJKJNDCHPCGFAGNJACICDBEIHPLAKPPPNFBEMDIAIONNAECKFNHKPOOFLIPDNOHIJOKHPGHEBE.cab
• https://171.105.26.52/
• https://36.99.86.14/FMsW
• https://43.137.29.34/encrypt
• https://47.92.91.213/js/lib/guide_tips-d9e617f785.js
• https://81.70.221.86:4444/dpixel
• https://jsupd.oss-accelerate.aliyuncs.com/FMsW
• https://www.9515hlhj.site:8443/_PasSApi/js/jquery-3.3.2.slim.min.js
• https://x-1329736259.cos.ap-beijing.myqcloud.com/c/msdownload/update/others/2021/10/BnkdkVoKtNRf7CvUHIAHCGFMKHLLIDJDKAHPFIKBEMAKNAFDFCLFHCPJHEMDLMFANNIEILFFMNFECEKAGEBINEKGJONFDHLNOHCJEKAKPMIEJKGBJHKHCMGBKAABNBIPFHIKAMGFINLBJDOICFJOLFOGBCCMFHDAKFGECHBPOKINDDKKGBDMKPKELPDJGMGHGJFIIPOJKJNDCHPCGFAGNJACICDBEIHPLAKPPPNFBEMDIAIONNAECKFNHKPOOFLIPDNOHIJOKHPGHEBE.cab

MD5

• 1ea4187a4f3b1717623c0a4ef8357e87
• 1f5e6748bca560ac597bcfb8c1614052
• 2b7dcb2402fe85e9ef1713b618e3618a
• 33d731a0133dfb1b71979db6a5d827e5
• 4c153ef717a3af05f2f6fb0e5e7a97d8
• 599bda6d0ec32912e1987f451c866ea1
• 6002124182055806f7e7ef48e1b78313
• 8e97d4a5f35ec73b8d82195ee93cff83
• a0f2339dd386e879e6240974f9008499
• bdd21a111baa859c419bfb11d014fa8d
• ce7d35afcc77b1610afef024ff72892a
• d1e5077a1de5f40cc517e946463b22fd
• df56dd886a808a22b506888f817717d9
• e3a27d82bcdc0b42aab587a3493419d7
• ed471460cd2b3d1ec4b6b7c20e41ff29

SHA1

• 43e4127f8fec41b4ef4e3450dc546c95c281a8f9
• 84a4d728a21da8bf5995ce412a17da090c3cdcc0
• 8c30ccb0add9870b2bf5d720fbc0bc064ade8abd
• b3ea09d7f1b62c861d367b435c21ae76e49789e0
• c34e4fca8d6335dbf10ee413d6ff6fbb8112e63f
• d73042e5556f46a917aa23b3ae8055d601990c86