Кампания KongTuke использует DNS-записи для скрытой доставки вредоносного кода

Кампании на основе ClickFix представляют собой изощрённый способ социальной инженерии. Злоумышленники заставляют жертву вручную выполнить команду, скопированную из буфера обмена. Для этого они используют различные предлоги, например, просят пользователя «исправить» проблему с отображением контента. Следовательно, пользователь сам, не подозревая об угрозе, запускает вредоносную цепочку действий. Ранее в подобных атаках наблюдалось использование различных протоколов и утилит, таких как "finger" или "mshta", для выполнения полезной нагрузки.

В конце декабря 2025 года аналитики зафиксировали значительное изменение. Текст для внедрения через ClickFix в кампании KongTuke стал содержать команды, извлекающие данные из DNS TXT-записей. Этот метод, известный как DNS-туннелирование, часто применяется для скрытого вывода информации или, как в данном случае, для получения следующего этапа атаки. Вредоносные инструкции, хранящиеся в TXT-записях контролируемых злоумышленниками доменов, извлекаются с помощью стандартных системных утилит, что делает активность менее заметной.

Постоянная ротация техник ClickFix является отличительной чертой данной угрозы. Группировка целенаправленно меняет методы выполнения команд, чтобы избегать сигнатур систем обнаружения вторжений (IDS) и предотвращения вторжений (IPS). Переход от прямого запуска скриптов к использованию DNS-инфраструктуры демонстрирует адаптивность оппонента. Такой подход усложняет работу специалистов по безопасности в центрах управления безопасностью (SOC), поскольку требует более глубокого анализа не только конечных точек, но и DNS-трафика.

Использование DNS-записей для доставки команд соответствует нескольким тактикам из матрицы MITRE ATT&CK. В частности, это относится к технике «Командный и контроль через протокол прикладного уровня» (T1071). Кроме того, механизм ClickFix напрямую эксплуатирует человеческий фактор, что попадает в категорию «Исполнение через пользователя» (T1204). Сочетание этих методов делает атаку эффективной против технически неподготовленных пользователей.

Эксперты Palo Alto Networks подчёркивают, что данная находка не является изолированным случаем. Напротив, она вписывается в общий тренд на усложнение методов начального доступа и выполнения кода. Ранее аналогичные приёмы наблюдались в кампаниях других APT-групп. Следовательно, инцидент служит напоминанием о необходимости многоуровневой защиты.

Для противодействия таким угрозам специалисты рекомендуют комбинировать технические и организационные меры. Во-первых, требуется мониторинг DNS-запросов, особенно к новым или подозрительным доменам, на предмет необычно больших TXT-записей. Во-вторых, важно ограничить возможность выполнения произвольных команд из командной строки для рядовых пользователей. В-третьих, регулярное обучение сотрудников основам кибергигиены поможет снизить риск успешной социальной инженерии.

Исследовательская группа продолжит мониторинг активности, связанной с ClickFix, уделяя особое внимание возможному повторному использованию DNS TXT-записей или появлению других скрытных техник. Появление KongTuke с обновлённым арсеналом демонстрирует, что даже хорошо известные векторы атак постоянно эволюционируют. Таким образом, организациям необходимо регулярно пересматривать свои модели угроз и адаптировать системы защиты к меняющемуся ландшафту киберрисков.

Domains

• app.frugesta.top
• hermisron.com
• morasota.top
• payload.bruemald.top

URLs

• https://aacobson.com/3w3w.js
• https://aacobson.com/js.php
• https://emierich.com/2p2o.js
• https://emierich.com/js.php
• https://hermisron.com/agent?token=c98348aa5479df05dae407a4c8771f66ff1f8f0708357037

SHA256

• a82dd54090493c5efa75c9219b2f0749648741bb09b6a0e3a12c3f9d134fea53