Главная страница » Индикаторы компрометации
0
4 месяца
Индикаторы компрометации

Китайскоязычные троянские установщики заражают пользователей Ghost RAT: аналитики Palo Alto обнаружили масштабную кампанию

security

Специалисты Palo Alto Networks обнаружили крупную киберкампанию, распространяющую троянские программы установки под видом популярного китайского ПО. Злоумышленники зарегистрировали более 2 000 вредоносных доменов в феврале и марте 2025 года, маскируя их под легитимные ресурсы для загрузки программного обеспечения. Аналитики связывают атаку с распространением Ghost RAT - опасного удаленного доступа трояна, который может использоваться для кражи данных и контроля над зараженными системами.

Описание

Основными целями атаки стали пользователи из США и Китая, причем наиболее уязвимыми оказались компании, работающие в профессиональной и юридической сферах. Злоумышленники активно использовали социальную инженерию, предлагая зараженные версии таких программ, как DeepSeek AI Assistant, i4Tools и Youdao Dictionary. Эти приложения популярны среди китайскоязычной аудитории, что делает атаку особенно эффективной.

Техника распространения и вредоносная нагрузка

Вредоносные домены были зарегистрированы в большом количестве, причем около 1 400 из них имитировали сайт i4Tools, 600 - Youdao Dictionary и 5 - DeepSeek. Все они размещались на трех IP-адресах одного хостинг-провайдера, что указывает на централизованное управление инфраструктурой. Анализ WHOIS-данных показал, что регистрация доменов велась автоматизированно, с пиками активности в начале февраля и марта 2025 года.

Первоначально вредоносное ПО распространялось через zip-архивы, загружаемые с поддельных веб-сайтов. Установщики для i4Tools и Youdao были упакованы в MSI-файлы, а DeepSeek распространялся в виде EXE-файла. При этом MSI-установщики обновлялись почти ежедневно, меняя хэши вредоносных файлов, что затрудняло их детектирование антивирусами. EXE-версия DeepSeek оставалась неизменной с 12 марта 2025 года, что упрощало анализ ее поведения.

После запуска троянские установщики сбрасывали вредоносный файл svchos1.exe в папку C:\Users\Public\Documents\MM\, который, по предварительным данным, является модификацией Ghost RAT. Этот троян известен своей способностью скрытно передавать данные злоумышленникам, записывать нажатия клавиш и даже удаленно управлять зараженной системой.

Пост-инфекционная активность и связь с C&C-серверами

После заражения вредоносное ПО устанавливало соединение с удаленными серверами через TCP-порт 80 и HTTPS. Одним из ключевых доменов, используемых для управления ботнетом, стал xiaobaituziha[.]com, работающий на порту 8080. Также были обнаружены запросы к fs-im-kefu.7moor-fs1[.]com, которые возвращали обфусцированные двоичные файлы, сохраняемые в той же папке MM.

Аналитики отмечают, что Ghost RAT активно используется киберпреступными группировками для целевых атак, а его наличие в системе может привести к серьезным утечкам данных. Особую опасность представляет тот факт, что вредоносное ПО маскируется под легитимное ПО, что увеличивает шансы успешного заражения.

Рекомендации по защите

Пользователям, особенно тем, кто работает с китайскоязычным ПО, рекомендуется скачивать программы только с официальных сайтов разработчиков и проверять цифровые подписи файлов. Компаниям следует усилить мониторинг сетевой активности, обращая внимание на подозрительные соединения с неизвестными доменами. Также важно регулярно обновлять антивирусные решения и использовать системы обнаружения вторжений (IDS) для выявления аномального трафика.

Palo Alto Networks продолжает исследование этой кампании и рекомендует организациям, которые могли стать ее жертвами, провести аудит безопасности. В случае обнаружения подозрительной активности следует немедленно изолировать зараженные системы и обратиться к специалистам по кибербезопасности.

Эта атака в очередной раз демонстрирует, насколько изощренными становятся методы киберпреступников, использующих доверие пользователей к популярному ПО. Бдительность и соблюдение базовых правил кибергигиены остаются ключевыми мерами защиты от подобных угроз.

Индикаторы компрометации

IPv4

  • 154.82.84.227
  • 156.251.25.112
  • 156.251.25.43

IPv4 Port Combinations

  • 103.181.134.138:8080

Domains

  • deep-seek.bar
  • deep-seek.bond
  • deep-seek.cfd
  • deep-seek.qpon
  • deep-seek.rest
  • i4toolsearch.vip
  • i4toolssddsl.top
  • i4toolssddzp.top
  • i4toolssddzq.top
  • i4toolssddzr.top
  • i4toolssddzt.top
  • i4toolssddzu.top
  • i4toolssddzw.top
  • i4toolssddzy.top
  • i4toolssffna.top
  • i4toolssffnd.top
  • i4toolssffnf.top
  • i4toolssffng.top
  • i4toolssffnh.top
  • i4toolssffnj.top
  • i4toolssffnl.top
  • xiaobaituziha.com
  • youdaohhnf.top
  • youdaohhsh.top
  • youdaohhvw.top
  • youdaohhvy.top
  • youdaohhxf.top
  • youdaohhzi.top
  • youdaohhzy.top

Domain Port Combinations

  • xiaobaituziha.com:8080

URLs

  • https://fs-im-kefu.7moor-fs1.com/ly/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/1741001373486/7.txt
  • https://fs-im-kefu.7moor-fs1.com/ly/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/1741012778019/3.txt
  • https://fs-im-kefu.7moor-fs1.com/ly/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/1741071075846/3.txt
  • https://fs-im-kefu.7moor-fs1.com/ly/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/1741277757095/3.txt
  • https://fs-im-kefu.7moor-fs1.com/ly/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/1741437627318/3.txt
  • https://fs-im-kefu.7moor-fs1.com/ly/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/1741507677489/4.txt
  • https://fs-im-kefu.7moor-fs1.com/ly/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/1741598298161/3.txt
  • https://fs-im-kefu.7moor-fs1.com/ly/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/1741766977268/4.txt
  • https://fs-im-kefu.7moor-fs1.com/ly/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/1741854013752/4.txt
  • https://fs-im-kefu.7moor-fs1.com/ly/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/1742300995084/3.txt
  • https://i4toolssddzp.top/i4Tools8_v8.33_Setup_x64.zip
  • https://i4toolssddzq.top/i4Tools8_v8.33_Setup_x64.zip
  • https://i4toolssddzr.top/i4Tools8_v8.33_Setup_x64.zip
  • https://i4toolssddzt.top/i4Tools8_v8.33_Setup_x64.zip
  • https://i4toolssddzu.top/i4Tools8_v8.33_Setup_x64.zip
  • https://i4toolssddzw.top/i4Tools8_v8.33_Setup_x64.zip
  • https://i4toolssddzy.top/i4Tools8_v8.33_Setup_x64.zip
  • https://i4toolssffna.top/i4Tools8_v8.33_Setup_x64.zip
  • https://i4toolssffnd.top/i4Tools8_v8.33_Setup_x64.zip
  • https://i4toolssffnf.top/i4Tools8_v8.33_Setup_x64.zip
  • https://i4toolssffng.top/i4Tools8_v8.33_Setup_x64.zip
  • https://i4toolssffnh.top/i4Tools8_v8.33_Setup_x64.zip
  • https://i4toolssffnj.top/i4Tools8_v8.33_Setup_x64.zip
  • https://i4toolssffnl.top/i4Tools8_v8.33_Setup_x64.zip
  • https://xiazailianjieoss.com/baidu/deepseek_release_X64.zip
  • https://xiazailianjieoss.com/i4Tools8_v8.33_Setup_x64.zip
  • https://xiazailianjieoss.com/YoudaoDictSetup.zip

SHA256

  • 0076f6ea4346af5ae43db08205664092029e06bb353e3406ee649e98723182eb
  • 1395627eca4ca8229c3e7da0a48a36d130ce6b016bb6da750b3d992888b20ab8
  • 1a13dc5488612aff33c3ad378d6b06b76551a2c6defb30b132547a633df03076
  • 2232612b09b636698afcdb995b822adf21c34fb8979dd63f8d01f0d038acb454
  • 23a96252ba2a3cff76158fa598f4de904780f24fbbd426f36258077628e8cfc2
  • 299e6791e4eb85617c4fab7f27ac53fb70cd038671f011007831b558c318b369
  • 33414abc9d5d4767a2612f85fe3b0555f3cbef646163ef3d1d9ddb753df5efbf
  • 45c62ebe5cd2441ca25a86ddc7023bc938c8d47f12ea626d5245875bf0a13c02
  • 61bb32673e33c7aa1a0825e18629880b4d870fdeb4666d8b0ca954866d110a07
  • 77c12dcdacd58f1f0cbf032fcf52b18aa06cd30c8a763a4dd3b2216f9c78e9a4
  • 7a4d5219956854db9581c98d9cee7d6ebe61c5498988ec2655cd80f3548f7bed
  • af1a08578a5ebb02835cf10a9a45393349bcaa2caa6eb9e823e7fc08db37da66
  • c333e4ed8e0d5c3b1f26fa12f51a1dc66db4cca344a646061e2c95f305560aa9
  • c37d0c9c9da830e6173b71a3bcc5203fbb66241ccd7d704b3a1d809cadd551b2
  • d44603abdcd6a4eb3283d5d4be88b93cc359d6f0efaccfd546c10e3349ccb4ed
  • d9efd833d31365c25bc10bb2a34845add5ff89bd660da1d9405dea82d035a308
  • e5d6f7138fcccd1a579d681ef354c4660deab3c216f3db1a330a8212d99fbea1
Комментарии: 0
Похожие записи
0
10.10.2024
Индикаторы компрометации

Palo Alto обнаружила четыре новые кампании по использованию DNS-туннелей

security
Исследователи из компании Palo Alto Networks обнаружили четыре ранее не публиковавшиеся кампании DNS-туннелирования, получившие названия FinHealthXDS, RussianSite, 8NS и NSfinder.
0
26.06.2025
Индикаторы компрометации

Новый Ransomware 01FLIP угрожает компаниям: атаки пока ограничены, но опасность растет

ransomware
Эксперты Palo Alto Networks обнаружили новый вид вредоносного ПО - ransomware под названием 01FLIP, получивший своё имя из-за расширения .01flip, которое присваивается зашифрованным файлам.
0
15.05.2025
Индикаторы компрометации

DarkCloud Stealer: Новая комплексная цепочка атак, использующая AutoIt

Stealer
В январе 2025 года исследователи из Unit 42 обнаружили серию атак, связанных с распространением DarkCloud Stealer. Эти атаки использовали AutoIt для обхода защиты и файлообменный сервер для размещения вредоносного ПО.