Группа APT-C-08, известная под названием «Маньлинхуа» (Bitter Lotus), активно использует файлы .application для фишинговых атак. Эта APT-группа (Advanced Persistent Threat - продвинутая постоянная угроза), связанная с правительственными структурами Южной Азии, продолжает целенаправленные атаки на государственные учреждения, военно-промышленный комплекс, университеты и дипломатические представительства в регионе. По данным аналитиков кибербезопасности, атаки стали более изощренными: злоумышленники внедряют вредоносное ПО через технологию ClickOnce, что позволяет обходить традиционные средства защиты.
Описание
Основной вектор атак заключается в рассылке файлов .application, которые маскируются под легитимные документы. При открытии файла запускается процесс удаленной установки, в ходе которого на устройство загружаются вредоносные компоненты. Критически важно, что злоумышленники создают планировщик задач (Task Scheduler), обеспечивающий периодический сбор данных о системе - включая имя компьютера и учетную запись пользователя - и их передачу на командный сервер (C2). Это позволяет атакующим адаптировать дальнейшие действия под конкретную среду.
Анализ образцов показал, что файл Microsoft.application (MD5: b0ab3a2e13907c199ce45985fadbf064) использует механизм онлайн-установки. При запуске он обращается к манифест-файлу, размещенному на подконтрольном злоумышленникам домене www.microsoft365.sangellobrighthouse[.]com, и загружает дополнительные компоненты. Среди них - ключевой вредоносный модуль Microsoft.exe, собранный с помощью dotnet publish с параметрами --self-contained true и /p:PublishSingleFile=true. Это усложняет детектирование методами статического анализа.
Основная нагрузка (winsec.exe, MD5: 37c9166dd4a4a58a11a0c69e62a35b58) написана на C# и использует техники обфускации. Например, модуль имитирует легитимные запросы к сайтам Microsoft, а затем применяет задержки выполнения (sleep), чтобы скрыть вредоносную активность. Командный сервер wmiapcservice[.]com:40269 шифруется с помощью AES, а полученные данные интерпретируются через динамические объекты .NET, что позволяет выполнять произвольный код без записи на диск.
Эксперты связывают эту кампанию с группой «Маньлинхуа» на основе тактик, техник и процедур (TTP), описанных в матрице MITRE ATT&CK. В частности, использование планировщика задач с запросами в формате php?xx=%computername%+%username% и интервалом выполнения в несколько минут соответствует предыдущим операциям группы. Также идентифицирован задний план (backdoor), который ранее применялся в атаках на организации в Южной Азии.
Для защиты от подобных угроз рекомендуется ограничить запуск файлов .application в корпоративных сетях, внедрить политики AppLocker или аналогичные механизмы контроля приложений, а также обучать сотрудников правилам кибергигиены. Особое внимание следует уделять анализу сетевого трафика на аномальные соединения с недоверенными доменами и мониторингу создания задач через планировщик. Своевременное обновление систем и применение решений класса EDR (Endpoint Detection and Response - обнаружение и реагирование на конечных точках) позволит снизить риски компрометации критической инфраструктуры.
Индикаторы компрометации
Domains
- www.microsoft365.sangellobrighthouse.com
Domain Port Combinations
- wmiapcservice.com:40269
URLs
- http://www.microsoft365.sangellobrighthouse.com/microsoft365/Application%20Files/Microsoft_1_0_0_9/Launcher.exe.deploy
- http://www.microsoft365.sangellobrighthouse.com/microsoft365/Application%20Files/Microsoft_1_0_0_9/Microsoft.exe.deploy
- http://www.microsoft365.sangellobrighthouse.com/microsoft365/Application%20Files/Microsoft_1_0_0_9/ms.ico.deploy
- http://www.microsoft365.sangellobrighthouse.com/microsoft365/Application%20Files/Microsoft_1_0_0_9/Microsoft.dll.manifest
- http://www.microsoft365.sangellobrighthouse.com/microsoft365/Microsoft.application
MD5
- 37c9166dd4a4a58a11a0c69e62a35b58
- b0ab3a2e13907c199ce45985fadbf064
