Активность продвинутых угроз, связанных с государственными интересами, постоянно эволюционирует, адаптируясь к современным системам защиты. В очередной раз это подтвердила иранская группа APT, известная под именами OilRig, APT34 или Helix Kitten, которая в своей новой кампании использовала сложную цепочку атак, сочетающую социальную инженерию, злоупотребление доверенными облачными платформами и стеганографию для скрытия команд управления. Эта активность, нацеленная на сбор конфиденциальной информации, в очередной раз демонстрирует, как геополитическая напряжённость переходит в цифровую плоскость, угрожая организациям по всему миру.
Описание
Эксперты из 360 Advanced Threat Research Institute обнаружили новую серию атак, где в качестве приманки использовались документы, эксплуатирующие тему социальных протестов в Иране. Злоумышленники рассылали файлы Excel с макросами, названия которых отсылали к спискам жертв событий в Тегеране. Это классический приём социальной инженерии, рассчитанный на эмоциональный отклик и любопытство целевых жертв, вероятно, связанных с иранской диаспорой, исследовательскими или правозащитными организациями. Включение макросов в документе запускало многоступенчатый и крайне изощрённый процесс заражения.
Первым этапом стало извлечение и компиляция вредоносного кода непосредственно на компьютере жертвы. Макросы декодировали исходный код на C#, скрытый внутри документа, и с помощью стандартного системного компилятора "csc.exe" создавали загрузчик. Этот подход, известный как "живая компиляция", позволяет обходить сигнатурные антивирусы, так как конечный исполняемый файл не существует заранее и создаётся уже в среде жертвы. Далее загрузчик обеспечивал себе закрепление в системе через планировщик заданий Windows, маскируясь под легитимные системные процессы.
Настоящая новизна и сложность данной кампании раскрываются на следующем этапе. Вместо прямого обращения к серверам управления злоумышленники выстроили цепочку из публичных, доверенных сервисов. Загрузчик сначала обращался к определённому репозиторию на GitHub, где в виде обычного текстового файла хранилась закодированная ссылка. После её расшифровки оказывалось, что она ведёт на Google Диск, где размещено изображение. Казалось бы, ничего подозрительного. Однако в пиксели этого изображения с помощью метода LSB-стеганографии были встроены зашифрованные конфигурационные данные. LSB, или метод наименее значимого бита, позволяет скрывать информацию, незначительно изменяя цветовые значения пикселей, что делает изменения невидимыми для человеческого глаза и не вызывает подозрений у систем анализа трафика.
Извлечённая из изображения конфигурация содержала ключи для дешифрования ссылок на дополнительные модули, также размещённые на Google Диске. Эти модули, загружаемые и исполняемые прямо в памяти оперативной памяти, предоставляли функционал для кражи файлов, выполнения произвольных команд и обеспечения устойчивой связи. Для командного управления злоумышленники отказались от классических протоколов в пользу Telegram Bot API. Использование зашифрованного мессенджера, трафик которого сливается с легитимным, серьёзно затрудняет его обнаружение и блокировку на сетевом уровне.
Принадлежность этой кампании к группе OilRig подтверждается несколькими характерными чертами. Во-первых, это устойчивая архитектура атаки, которая прослеживается в их предыдущих операциях: использование Excel с макросами в качестве вектора входа, схожие методы извлечения и компиляции полезной нагрузки, а также аналогичные схемы закрепления в системе. Во-вторых, группа исторически активно злоупотребляет легитимными облачными сервисами для скрытия своей инфраструктуры. В-третьих, в коде некоторых модулей, в частности отвечающих за кражу данных, обнаружены комментарии на персидском языке, что косвенно указывает на происхождение авторов.
Данная кампания наглядно иллюстрирует ключевые тенденции в развитии инструментария APT-групп. Акцент смещается в сторону максимальной скрытности и обфускации цепочки доставки. Использование доверенных платформ вроде GitHub и Google Drive не только помогает обходить чёрные списки URL, но и снижает уровень подозрений у потенциальных жертв и аналитиков. Стеганография добавляет дополнительный, редко встречающийся в массовых атаках, уровень скрытности для передачи критических данных. Наконец, переход на использование популярных мессенджеров для C2-коммуникаций представляет серьёзную проблему для традиционных средств защиты периметра, построенных на анализе сетевых протоколов.
Последствия успешного проникновения такого инструментария могут быть крайне серьёзными. Группа OilRig традиционно нацелена на государственные структуры, энергетический сектор, телекоммуникации и химическую промышленность. Утечка стратегической информации, данных о внутренних процессах или коммерческой тайны из таких организаций может нанести значительный ущерб национальной безопасности и экономике. Для специалистов по информационной безопасности этот случай служит напоминанием о необходимости многоуровневого подхода к защите, где классическая проверка вложений должна дополняться поведенческим анализом, мониторингом аномальной активности в облачных сервисах и вниманием к нестандартным методам скрытия данных в самом обыденном цифровом трафике.
Индикаторы компрометации
MD5
- 07aa715f8a6f56a96476aae0ebca17c7
- 717da2804144e9759c4e6409f18b7b4b
- 9c0409be11a6c4433896db58e7095464
- ca002f49f3d5ee36ded21e235e8d04e7
- d0d17a50422e3d4a0a50fed0878a47d6
