В середине мая 2026 года специалисты по кибербезопасности зафиксировали сложную фишинговую кампанию, нацеленную на медицинскую аналитическую компанию. Инцидент длился пять дней и продемонстрировал высокий уровень операционной дисциплины злоумышленников. Они использовали комбинацию из нескольких вредоносных программ и легитимных инструментов, чтобы обеспечить себе постоянный доступ к сети жертвы и провести разведку доменной инфраструктуры. Хотя атака была отработана в контролируемой децепционной среде, её сценарий полностью повторяет реальные атаки на организации с разветвлённой корпоративной сетью.
Описание
Жертвой в сценарии выступала компания, занимающаяся анализом данных в сфере здравоохранения. Её инфраструктура включала более тысячи конечных устройств и пятьсот пользователей, работающих в среде Microsoft Active Directory. Злоумышленники начали атаку с рассылки фишинговых писем от имени американского Администрации социального обеспечения (SSA). Тема письма гласила: "Ваш документ SSA за 2025 год доступен для скачивания". Письмо содержало ссылку на RAR-архив, размещённый на взломанном сайте на платформе WordPress. Файл в архиве был исполняемым PE32-файлом, замаскированным под PDF с помощью приёма с символом управления направлением текста справа налево (RTLO). В результате расширение ".pdf" отображалось в конце имени, хотя на самом деле файл был исполняемым.
После запуска dropper на компьютере жертвы начиналась сложная цепочка загрузки дополнительных компонентов. Для скачивания архива с основным набором инструментов использовалась штатная утилита Windows "certutil". Затем с помощью PowerShell архив распаковывался, а сам ZIP-файл удалялся - это указывало на простые, но продуманные меры противодействия криминалистическому анализу. Основным командным центром (C2) стала AdaptixC2 - открытый фреймворк для постэксплуатационного доступа. Его модули "жучков" обращались к серверам на адресах 98[.]81[.]111[.]167 и 23[.]20[.]229[.]225 через HTTPS, причём из-за включённой инспекции TLS трафик удалось перехватить в открытом виде. Сигнатура запросов оказалась характерной: POST запросы на пути "/updates/check.php", "/api/v1/status" и "/content.html" с фиксированным старым User-Agent.
Параллельно с AdaptixC2 злоумышленники развернули XWorm (вредоносная программа для удалённого доступа и кражи данных). Её DLL-компонент был записан в папку "C:\Users\Public\Documents\". XWorm обеспечивал резервный канал управления и эксфильтрацию данных через бота в Telegram. Специалисты Deception.Pro [сообщили] в своём анализе, что тот же самый Telegram-канал использовался и для оповещений от AdaptixC2, и от другой вредоносной программы Phantom Stealer. Это прямо связывало все три угрозы с одним оператором. Для интерактивного управления на машине жертвы были установлены два независимых клиента ScreenConnect - легитимного средства удалённого рабочего стола. Клиенты подключались к разным релейным серверам на порту 8041, что давало злоумышленникам запасной канал на случай, если один домен скомпрометируют.
Постэксплуатационная активность включала разведку домена через протоколы SAMR и LSAD. Злоумышленники выполняли перебор учётных записей, групп и доверительных отношений, чтобы решить, куда двигаться далее. В одном из запросов к контроллеру домена была зафиксирована сигнатура, напоминающая подготовку к атакам типа DCSync или сбор информации с помощью PingCastle. Однако наблюдаемая активность ограничивалась пассивным сбором сведений об учётных записях и доверительных связях.
Последствия и уроки
Хотя инцидент произошёл в децепционной среде и не нанёс реального ущерба, он наглядно демонстрирует современные тенденции в атаках. Злоумышленники не использовали сложные уязвимости - вся цепочка строилась на социальной инженерии и грамотном применении публичных инструментов. Письмо было точной копией официального уведомления SSA, а архив располагался на легитимном, но взломанном сайте, что обходило многие фильтры репутации. Приём RTLO до сих пор работает, несмотря на свою простоту. Использование нескольких разнородных каналов управления делало атаку устойчивой к блокировкам.
Для защитников из этой кампании можно извлечь несколько практических выводов. Во-первых, поведенческие и сетевые детекторы оказываются эффективнее поиска по хешам: ни один из образцов AdaptixC2 на момент атаки не был известен в VirusTotal. Во-вторых, вызов "certutil -urlcache" к нестандартному URL должен быть немедленно проверен, поскольку у легитимного ПО редко есть основания использовать эту утилиту для скачивания. В-третьих, мониторинг установки программ удалённого администрирования (RMM), особенно через командные строки с ключами "/quiet" или "/norestart", позволяет выявлять злоупотребление такими инструментами. Наконец, появление необычных записей автозагрузки в реестре с именами вроде "JavaUpdater" или "PayloadService", указывающих на пути в пользовательских папках, должно стать триггером для немедленной реакции.
Кампания подтверждает, что злоумышленники всё чаще комбинируют готовые открытые фреймворки и легитимное ПО, чтобы добиться эффекта присутствия без использования дорогих эксплойтов. Основной защитой остаётся внимательное отношение к фишинговым письмам, даже если они выглядят достоверно, и многоуровневый мониторинг поведения конечных точек, способный обнаружить аномалии на ранних этапах, когда данные ещё не покинули сеть.
Индикаторы компрометации
IPv4 Port Combinations
- 23.20.229.225:443
- 98.81.111.167:443
Domains
- 1omlinemailserver.work
- almacensantangel.com
- cloudpre-005.online
- nextleveldigitalinnovationx.com
Domain Port Combinations
- fragment-sales.store:8041
- gatuso.duckdns.org:5111
URLs
- https://23.20.229.225/api/v1/status
- https://23.20.229.225/content.html
- https://23.20.229.225/updates/check.php
- https://98.81.111.167/api/v1/status
- https://98.81.111.167/content.html
- https://98.81.111.167/updates/check.php
- https://almacensantangel.com/wp-includes/assets/YourSSA_Documents_0000000676152_05_187_2026_Document_0000000676152.rar
- https://cloudpre-005.online/wop/payload.zip
- https://cloudpre-005.online/wop/stub.zip
SHA256
- 0b6b1bde6bb224ee3bed2bb05703856e1468eedc696d25338b8fa1704c0c0533
- 1f4d4f0bdc6cec35286d010b69387c0a1a887ba92f0375fc12ae256d6cae19e1
- 1ffc8bde92758bc0d2ddcc5a6bb78c73b6409429e52d62191f25afa8ebfad84a
- 802b5f64c840902328f28a6b71a3a0a73cbe3d2eebcc58fdf8ce6888552f7b83
- 9f66b971e687e2938022e74aee8261569c8bac5a1679ae251d1996500fc40498