Группировка IAmTheKing атакует российские организации с помощью кадровой фишинговой анкеты

Группировка IAmTheKing действует как минимум с 2018 года. Её арсенал включает широкий спектр инструментов: от специализированных бэкдоров вроде QueenOfHearts и QueenOfClubs до собственных загрузчиков и шпионских модулей, таких как Donnect, DimanoRAT, AntSpy и KingLogger. География атак охватывает Европу, Центральную, Восточную и Юго-Восточную Азию, а также Америку. В сферу интересов входят аэрокосмическая и оборонная промышленность, исследовательские организации, образование, правительственный сектор, строительство, технологии, финансы и энергетика. Теперь под ударом оказались и российские организации.

В ходе недавней кампании злоумышленники применили метод социальной инженерии, который давно стал классическим, но по-прежнему эффективен. Жертве по электронной почте приходит письмо с вложенным документом Microsoft Word, оформленным как типовая кадровая форма "Личный листок по учёту кадров". На первый взгляд это безобидная анкета, но при открытии документа Word отображает поверх шаблона поддельное окно с сообщением "Этот файл был создан с помощью более новой версии Microsoft Office" и просьбой нажать кнопку "Включить содержимое". Такой приём нужен, чтобы заставить пользователя активировать макросы - только после этого начинается цепочка заражения.

Если жертва поддаётся обману, процесс WINWORD.EXE тут же сбрасывает на диск три компонента первой стадии. Первый - пакетный файл GmpQCrHeSpcUxedm.bat, который запускает всю цепочку. Второй - файл WindowsAPPUpdate.ekr, расположенный в каталоге C:\ProgramData\. Он представляет собой массив байтов, зашифрованный с помощью операции XOR. Ключ расшифровки хранится в последней строке этого же файла. Третий артефакт - файл-ярлык с именем "ЛИЧНЫЙ ЛИСТОК ПО УЧЁТУ КАДРОВ.doc.lnk", который остаётся в папке недавних документов Microsoft Office.

Затем командный интерпретатор cmd.exe запускает пакетный файл, который, в свою очередь, вызывает PowerShell. PowerShell через команду "type C:\ProgramData\WindowsAPPUpdate.ekr" считывает зашифрованный массив, отделяет последнюю строку как ключ, расшифровывает основную полезную нагрузку и сохраняет её на диск как скрипт WindowsAPPUpdate.ps1. Этот скрипт - загрузчик следующих стадий.

Чтобы закрепиться в системе, создаётся задача планировщика. Команда выглядит так:

Задача запускает PowerShell-загрузчик каждые 10 минут в скрытом окне, обходя политику выполнения скриптов. В некоторых случаях интервал составлял всего одну минуту, а имя задачи могло быть MicrosoftAShd.

Расшифрованный скрипт WindowsAPPUpdate.ps1 реализует сразу несколько интересных функций, направленных на обход типовых средств защиты корпоративных сетей. Во-первых, он отключает проверку TLS-сертификатов командного сервера, регистрируя политику TrustAllCertsPolicy. Это позволяет загрузчику игнорировать ошибки самоподписанных сертификатов и успешно связываться с C2 (сервером управления). Во-вторых, скрипт динамически компилирует C#-класс CredManager.Util для извлечения учётных данных прокси-сервера из системного хранилища Windows Credential Manager. Дело в том, что внутри корпоративных сетей часто используются прокси-серверы; если у пользователя сохранены логин и пароль для доступа к прокси, злоумышленники получают их и могут подключиться к внешнему C2 через корпоративный шлюз. Если учётных данных нет, загрузчик использует DefaultNetworkCredentials (текущий контекст процесса).

Далее скрипт с подменным User-Agent пытается загрузить следующую стадию с сервера "ssion.novetlylition.com" по порту 80. Загруженный файл сохраняется как "fktVNobv.ps1" и сразу же исполняется. Если загрузка не удалась (например, сервер временно недоступен), срабатывает фолбэк-механизм: создаётся невидимый объект InternetExplorer.Application, который переходит на телеметрийный URL "ssion.novetlylition.com/ld-failed?id=<>". После этого приложение iexplore.exe завершается. Таким образом операторы группировки получают уведомление о неудачных попытках доставки вредоносной нагрузки и могут скорректировать атаку.

Итоговая цепочка выглядит так: фишинговое письмо с кадровым документом-приманкой, открытие файла пользователем, активация макросов, выгрузка на диск стейджеров (BAT-файла и зашифрованной полезной нагрузки), запуск цепочки через PowerShell, расшифровка и сохранение загрузчика, закрепление через планировщик задач, кража прокси-учётных данных, загрузка следующей стадии или уведомление о сбое.

Специалисты по киберразведке сообщили об этой кампании, подчеркнув, что прицельное использование кадровой анкеты - не случайность. Такие формы могут рассылаться от имени отдела кадров, что повышает доверие у сотрудников. Группировка IAmTheKing явно нацелена на разведку и долговременное присутствие в инфраструктуре: закрепление через планировщик и сбор учётных данных прокси говорят о намерении сохранить доступ, даже если пользователь выключит компьютер или сменит IP. Учитывая, что под ударом могут оказаться оборонные предприятия, исследовательские центры и правительственные организации, последствия компрометации могут быть крайне серьёзными: утечка конфиденциальной документации, перспективных разработок и персональных данных сотрудников.

На данный момент эксперты рекомендуют усилить контроль за входящей почтой, особенно если вложения содержат макросы. Также стоит обратить внимание на политики выполнения скриптов PowerShell и настроить аудит действий планировщика задач. Обнаружение задачи с именем MicrosoftAppShd или MicrosoftAShd, запускающей скрытый PowerShell каждые 10 минут, должно стать немедленным сигналом к расследованию. Сложность современных угроз, таких как IAmTheKing, требует от служб информационной безопасности постоянной бдительности и использования инструментов поведенческого анализа, способных заметить аномалии - например, извлечение учётных данных из Credential Manager или попытку отключения проверки TLS.

IPv4

• 103.57.251.102

Domains

• ssion.novetlylition.com

MD5

• 9518ef71fcdd0e8e7bcb06441e0c61f4
• f99dd00f769caf7518c876488f5df2e4