Кампания кибершпионажа, развернутая группой Seedworm (известной также как MuddyWater), затронула как минимум девять организаций в девяти странах на четырех континентах. Среди целей оказались крупный южнокорейский производитель электроники, промышленные предприятия в Юго-Восточной Азии, государственные учреждения на Ближнем Востоке, латиноамериканская финансовая компания, международный аэропорт и учебные заведения в нескольких регионах. Это событие примечательно не только географическим размахом, но и тактическими изменениями, которые демонстрируют возросшую дисциплину и техническую зрелость злоумышленников.
Описание
Группа Seedworm, по данным профильных источников, связана с Министерством разведки и безопасности Ирана (MOIS). Все атаки объединены общей целью - получение доступа к информации, представляющей ценность для Тегерана. Речь идет об интеллектуальной собственности в сфере высокотехнологичного производства, научных разработках, разведданных о правительствах других стран, а также о потенциальных цепочках атак на клиентов сервисных компаний. Особое внимание привлек инцидент с южнокорейским производителем электроники: хакеры провели внутри его сети целую неделю в феврале 2026 года.
Ключевая особенность кампании - активное использование техники подгрузки DLL (Dynamic-Link Library, динамически подключаемая библиотека) через легитимные подписанные бинарные файлы. Злоумышленники применяли два таких набора. Первый - утилита драйвера аудио fmapp.exe от компании Fortemedia Inc., которая загружала вредоносную библиотеку fmapp.dll. Второй - компонент продукта SentinelOne под названием sentinelmemoryscanner.exe, также имеющий валидную цифровую подпись. Он использовался для подгрузки библиотеки sentinelagentcore.dll. Выбор бинарника от известного вендора средств защиты неслучаен: это позволяет обойти сигнатурные детекторы и затрудняет анализ инцидента для специалистов по реагированию.
Обе вредоносные DLL содержали ChromElevator - публично доступный инструмент для эксплуатации после получения доступа. Он способен скрытно красть и выгружать данные из браузеров на основе Chromium, включая пароли, файлы cookie и данные банковских карт. Важно, что запуском этих связок управлял не пользователь, а сценарий на Node.js: родительским процессом в обоих случаях выступал узел node.exe.
Использование Node.js для доставки и оркестровки сценариев PowerShell - относительно новая тактика Seedworm. Ранее группа активно применяла среду Deno, схожую с Node.js. Теперь же хакеры развернули цепочку загрузчиков, которые скачивали с сервера управления несколько сценариев PowerShell. Среди них были инструменты для снятия скриншотов, разведки системы и кражи учетных данных.
Процесс атаки на южнокорейского производителя электроники исследователи восстановили в деталях. Всё началось 20 февраля 2026 года с короткой разведывательной команды PowerShell. Уже через минуту были выполнены стандартные запросы на сбор информации: whoami, hostname, net user и другие. Затем с помощью WMI (Windows Management Instrumentation) злоумышленники проверили, какие антивирусные продукты установлены в системе. Примерно через двенадцать минут они сделали скриншот рабочего стола - вероятно, чтобы понять, над чем работает пользователь.
После этого началась загрузка инструментов с сервера 179.43.177[.]220 по протоколу HTTP на порту 8080. Хакеры использовали curl.exe для скачивания двух файлов - a.dat (предположительно закодированная полезная нагрузка) и a.exe (исполняемый файл). Выбор curl вместо штатных функций PowerShell объясняется желанием скрыть сетевую активность от журналов PowerShell.
Сразу после этого были последовательно запущены обе пары DLL-подгрузки - сначала fmapp.exe, затем sentinelmemoryscanner.exe. В реестр была добавлена запись в разделе CurrentVersion\Run, обеспечивающая автозагрузку fmapp.exe при каждом входе пользователя в систему. Это позволило злоумышленникам закрепиться в системе.
Затем последовала серия операций по краже учетных данных. Хакеры скопировали SAM (Security Account Manager), SECURITY и SYSTEM кусты реестра с помощью reg save. Из этих файлов можно извлечь хэши паролей NTLM (протокол проверки подлинности в Windows) для их последующего взлома и перемещения по сети. Были запущены и специализированные утилиты: одна из них вызывала диалоговое окно безопасности Windows для ввода учетных данных, сохраняя введенный пароль в файл. Другая автоматически извлекала билеты Kerberos (протокол аутентификации в доменной сети) через злоупотребление делегированием GSS-API, получая доступ к доменным данным без знания пароля.
На протяжении трех дней хакеры периодически перезапускали подгруженные библиотеки, поддерживая SOCKS5-туннель (протокол для маршрутизации трафика через прокси-сервер) и выполняя разведывательные команды. 22 февраля они провели более агрессивную разведку: запросили список запланированных задач, перечислили службы и повторно выполнили команды net group для разных групп. После этого они выгрузили часть собранных данных через публичный сервис sendit[.]sh, отправив архив с помощью curl. Выбор общедоступного файлообменника вместо собственной инфраструктуры позволяет злоумышленникам смешивать свой трафик с легитимным и избегать обнаружения на границе сети.
Последняя активность на скомпрометированном хосте была зафиксирована 27 февраля: злоумышленники снова запустили fmapp.exe, после чего следы теряются. Всего хакеры провели в сети жертвы около недели, используя комбинацию инструментов, создающих избыточность: если один метод кражи паролей блокируется системой защиты, срабатывает другой.
Эта кампания примечательна не только расширением географии - ранее Seedworm в основном действовал на Ближнем Востоке и в Южной Азии, а теперь атаковал объекты в Латинской Америке и Восточной Азии. Она демонстрирует эволюцию тактики группы. Использование подписанных бинарников от SentinelOne - прямого конкурента многих продуктов ИБ - особенно показательно. Сочетание этой техники с оркестровкой через Node.js, эксфильтрацией через публичные сервисы и многократным дублированием инструментов кражи учетных данных говорит о том, что Seedworm стал действовать гораздо аккуратнее и продуманнее, чем два-три года назад. Для специалистов по защите информации это означает необходимость пересматривать подходы к обнаружению: традиционные сигнатуры и доверие к подписанным файлам больше не гарантируют безопасность.
Индикаторы компрометации
IPv4
- 104.21.48.205
- 172.67.156.47
- 178.128.233.36
- 179.43.177.220
- 34.117.59.81
- 37.187.78.41
Domains
- sendit.sh
- timetrakr.cloud
URLs
- http://179.43.177.220:8080/a.dat
- http://179.43.177.220:8080/a.exe
- http://179.43.177.220:8080/nm.ps1
- https://svc.wompworthy.com
SHA256
- 0c9b911935a3705b0ad569446804d80026feb6db3884aeb240b6c76e9b8cf139
- 128b58a2a2f1df66c474094aacb7e50189025fbf45d7cd8e0834e93a8fbed667
- 3ee7dab4ae4f6d4f16dfabb6f38faef370411a9fc00ff035844e54703b99600a
- 74ab3838ebed7054b2254bf7d334c80c8b2cfec4a97d1706723f8ea55f11061f
- b21c802775df0c0d82c8cfde299084abc624898b10258db641b820172a0ba29a
- bee79c3302b1a7afc0952842d14eff83a604ef00bfdae525176c16c80b2045f7
- c6182fd01b14d84723e3c9d11bc0e16b34de6607ccb8334fc9bb97c1b44f0cde
- d587959841a763669279ad831b8f0379f6a7b037dffc19deab5d41f37f8b5ffc
- e25892603c42e34bd7ba0d8ea73be600d898cadc290e3417a82c04d6281b743b