Еженедельный отчёт Red Piranha: троян Sainbox RAT и активность программ-вымогателей

Одной из главных находок отчётного периода стал троян удалённого доступа Sainbox RAT. Это вредоносное приложение для Windows является вариантом печально известного Gh0stRAT - инструмента, который давно применяется в фишинговых кампаниях, связываемых с китайскими группировками. Злоумышленники создают поддельные страницы, имитирующие официальные сайты популярного софта, таких как WPS Office, DeepSeek или Sogou. Жертва скачивает и запускает ложный установщик, после чего система оказывается под полным контролем атакующего. Для закрепления в системе (persistence) Sainbox использует руткит (rootkit) - скрытый модуль, который прячет присутствие вредоносного кода от стандартных средств защиты. Действия Sainbox классифицируются как командно-контрольное взаимодействие (C2), причём для передачи данных применяются обычные веб-протоколы, что затрудняет обнаружение трафика.

Параллельно в базу угроз Crystal Eye добавлены сигнатуры для двух опасных уязвимостей корпоративного уровня. Первая затрагивает локальную версию Microsoft Exchange Server (CVE-2026-42897) с оценкой CVSS 8,1. Неаутентифицированный удалённый злоумышленник может отправить специально сформированное письмо, которое при открытии в Outlook Web Access исполняет произвольный JavaScript-код в браузере жертвы. Это классическая межсайтовая XSS-уязвимость, позволяющая, например, похитить сессионные cookies или перенаправить пользователя на фишинговый сайт. Вторая уязвимость - критическая, с максимальным баллом CVSS 10 - обнаружена в системах Cisco Catalyst SD-WAN Controller и Manager (CVE-2026-20182). Она даёт возможность неавторизованному злоумышленнику обойти аутентификацию и получить полный административный доступ к управляющей консоли сети. Оба производителя уже выпустили исправления; Red Piranha настоятельно рекомендует установить обновления.

Кроме того, обновлены сигнатуры для уже известного XWorm - ещё одного трояна удалённого доступа, который также используется как загрузчик другого вредоносного ПО. XWorm активно продаётся и сдаётся в аренду на форумах даркнета в качестве легитимного инструмента, хотя на деле предоставляет злоумышленникам полное управление заражённым компьютером. Подобные коммерческие программы-вымогатели (RaaS) становятся всё более массовым явлением, упрощая вход на рынок киберпреступности для малоопытных хакеров.

Особую тревогу вызывает статистика атак программ-вымогателей за прошлую неделю. По данным мониторинга даркнета, которые специалисты Red Piranha [представили] в своём отчёте, бесспорным лидером стала группировка Qilin, на долю которой пришлось почти 18% всех зафиксированных инцидентов. За ней следуют The Gentlemen (около 10%) и Genesis (7,6%). Достаточно активно действовали Akira, Inc Ransom, Lynx, Coinbase Cartel и Play. Всего же в отчёте упоминаются более трёх десятков группировок, что подтверждает сохраняющуюся фрагментацию и высокую конкуренцию в среде вымогателей.

Особого внимания заслуживает группа BravoX, чья активность заметно выросла с момента появления в январе 2026 года. Это зрелая RaaS-операция с продуманной стратегией найма партнёров. Анализ одного из подтверждённых инцидентов, проведённый экспертами InfoGuard Labs, раскрывает типовую цепочку атаки. Злоумышленники проникают в сеть через интернет-доступный VPN-портал с отключённой многофакторной аутентификацией и слабыми учётными данными (атака на внешние удалённые службы). Затем используют сетевые сканеры (SoftPerfect, Advanced IP Scanner) и системные команды (wmic) для разведки. После получения доступа к контроллеру домена дампят память процесса lsass.exe, извлекая привилегированные учётные записи. Для повышения привилегий применяют технику BYOVD (Bring Your Own Vulnerable Driver) - загружают в систему собственную уязвимую драйвер (например, wsftprm.sys), получают доступ на уровне ядра и отключают средства защиты (Microsoft Defender, Sophos). Закрепляются через две фоновые задачи: одна открывает RDP через скрытый сервис Tor (прокси-цепочка), другая создаёт шифрованный SSH-туннель к своему серверу. Перед шифрованием данные выгружаются в облачное хранилище с помощью легитимной утилиты Rclone. Шифруются как виртуальные диски (VMDK), так и файловые системы физических серверов, файлам присваивается расширение .bx-0000. Если жертва отказывается платить, начинается "пост-торговая" фаза: массовая рассылка писем сотрудникам и директорам, прямые сообщения в LinkedIn с целью давления на руководство.

IPv4

• 45.61.136.225
• 64.94.85.76
• 91.222.174.120
• 91.222.174.96

Onions Domains

• bravoxxtrmqeeevhl7gdh2yzvlrjxajr66d33c7ozosrccx4cz7cepad.onion
• bravoxxwcfz5qk43ychgveprpd5mw5hvxfs4a2uz2okx7mumiht4fzyd.onion