Кибератака с использованием Cobalt Strike Beacon через GitHub и соцсети продолжает угрожать компаниям в России и за рубежом

Активность кампании достигла пика в ноябре-декабре 2024 года, однако атаки продолжались вплоть до апреля 2025-го. После двухмесячного затишья защитные решения снова начали фиксировать новые инциденты, причем злоумышленники использовали лишь слегка модифицированные версии прежних вредоносных образцов.

Начальная стадия атаки: фишинг с элементами социальной инженерии

Первоначальный вектор атаки включал целенаправленные фишинговые письма с вредоносными вложениями. Злоумышленники маскировались под представителей крупных государственных компаний, в первую очередь из нефтегазовой отрасли, демонстрируя фиктивный интерес к продукции и услугам жертв. Это позволяло создать иллюзию легитимности и повышало вероятность открытия вложений.

Все обнаруженные вложения представляли собой RAR-архивы с определенной структурой. Внутри находились как обычные PDF-документы (использовавшиеся для отвлечения внимания), так и скрытые исполняемые файлы, замаскированные под безопасные PDF. При открытии ярлыка «Требования.lnk» вредоносные файлы копировались в системную папку, переименовывались и запускались под видом легального софта.

Использование уязвимостей легального ПО для внедрения вредоносного кода

Атакующие применили технику DLL Hijacking, эксплуатируя уязвимость в легальном инструменте BugSplat, предназначенном для сбора отчетов о сбоях программ. Вредоносная библиотека BugSplatRc64.dll подменяла оригинальный файл, заставляя систему загружать зловред вместо легального компонента.

Для усложнения детектирования злоумышленники использовали динамическое разрешение API-функций (Dynamic API Resolution), скрывая вызовы системных функций с помощью специального хэширования, напоминающего алгоритм CRC. Кроме того, часть хэшей была дополнительно зашифрована с помощью XOR, а адреса функций удалялись из памяти после каждого вызова.

Хищение данных и взаимодействие с C2-серверами через популярные платформы

Основная задача подмененной DLL заключалась в перехвате API-вызовов и выполнении вредоносного кода. В частности, зловред модифицировал функцию MessageBoxW, подменяя ее вызов на исполнение собственного кода. После этого вредоносная библиотека загружала шелл-код в два этапа.

Сначала исполняемый файл извлекал HTML-контент с веб-страниц, размещенных на таких платформах, как Microsoft Tech Community и Quora. В анализируемом образце использовались URL-адреса профилей, созданных специально для атаки. Далее из HTML-кода извлекалась зашифрованная строка, содержащая ссылку на GitHub, откуда загружался второй этап шелл-кода.

Финализация атаки включала запуск рефлексивного загрузчика, который внедрял Cobalt Strike Beacon в память процесса. Образец взаимодействовал с C2-сервером по адресу moeodincovo[.]com, что позволило злоумышленникам устанавливать долгосрочный контроль над зараженными системами.

География атак и возможная связь с другими кампаниями

Хотя основными жертвами стали российские компании, следы активности злоумышленников были обнаружены также в Китае, Японии, Малайзии и Перу. Большинство пострадавших - крупные и средние предприятия.

Методика извлечения URL C2 через профили на публичных платформах схожа с ранее наблюдаемой в кампании EastWind. В обоих случаях атакующие использовали XOR-шифрование и размещали данные на GitHub и Quora. Кроме того, цели частично пересекались, что может указывать на связь между группами или заимствование тактик.

Заключение

Данная кибератака демонстрирует, как злоумышленники усложняют свои методы, маскируя известные инструменты под легальные процессы. Использование DLL Hijacking, динамического API-разрешения и легальных веб-платформ для хостинга C2-адресов значительно затрудняет обнаружение угрозы. Компаниям рекомендуется усилить мониторинг корпоративной инфраструктуры, обучить сотрудников распознаванию фишинговых атак и применять комплексные решения для защиты от подобных инцидентов.

Косвенными признаками заражения могут служить наличие в системе неподписанного файла BugSplatRc64.dll или использование Crash reporting Send Utility под нестандартным именем. Однако учитывая высокий уровень адаптивности злоумышленников, важно оставаться в курсе новых тактик и своевременно обновлять защитные механизмы.

URLs

• http://10.2.115.160/aa/shellcode_url.html
• https://github.com/Kimoeli
• https://github.com/Mashcheeva
• https://learn.microsoft.com/en-us/collections/ypkmtp5wxwojz2
• https://moeodincovo.com/divide/mail/SUVVJRQO8QRC
• https://my.mail.ru/mail/nadezhd_1/photo/123
• https://my.mail.ru/mail/veselina9/photo/mARRy
• https://raw.githubusercontent.com/fox7711/repos/main/1202.dat
• https://techcommunity.microsoft.com/t5/user/viewprofilepage/user-id/2548260
• https://techcommunity.microsoft.com/t5/user/viewprofilepage/user-id/2631452
• https://techcommunity.microsoft.com/users/kyongread/2573674
• https://techcommunity.microsoft.com/users/mariefast14/2631452
• https://www.quora.com/profile/Marieformach

MD5

• 02876af791d3593f2729b1fe4f058200
• 08fb7bd0bb1785b67166590ad7f99fd2
• 15e590e8e6e9e92a18462ef5dfb94298
• 2662d1ae8cf86b0d64e73280df8c19b3
• 2ff63cacf26adc536cd177017ea7a369
• 30d11958bfd72fb63751e8f8113a9b04
• 4948e80172a4245256f8627527d7fa96
• 633f88b60c96f579af1a71f2d59b4566
• 66b6e4d3b6d1c30741f2167f908ab60d
• 672222d636f5dc51f5d52a6bd800f660
• 92481228c18c336233d242da5f73e2d5
• a02c80ad2bf4bffbed9a77e9b02410ff
• add6b9a83453db9e8d4e82f5ee46d16c
• b2e24e061d0b5be96ba76233938322e7
• f9e20eb3113901d780d2a973ff539ace