Группа хакеров amdc6766 продолжает целенаправленную кампанию против системных администраторов, используя усовершенствованные методы заражения на платформах Linux и Windows. По данным исследования злоумышленники активно распространяют вредоносное ПО через фишинговые страницы популярных инструментов для разработчиков и ИТ-специалистов.
Описание
С начала 2023 года amdc6766 использует три основных вектора атак: поддельные страницы легитимных программ (AMH, Xshell, Navicat), заражение цепочки поставок (пакеты LNMP, OneinStack) и эксплуатацию публичных веб-уязвимостей. Жертвы, загружая инструменты с фальшивых ресурсов, невольно устанавливают вредоносные компоненты, устанавливающие DNS-туннели с командными серверами злоумышленников.
В августе 2025 года зафиксирована новая волна активности с обновленной тактикой. Вредоносный установщик теперь использует параметр "GMtwmbRliHWK2bry" и динамическую библиотеку "libjson.so.2.1.0", функционал которой включает сбор системной информации, управление процессами и выполнение произвольных команд. Для связи задействован домен "aliyun06.360stcp.com", имитирующий сервисы известных компаний.
На инфицированных Linux-системах обнаружены четыре руткита:
- "uQBsN.ko" и "aSDjk.ko", связанные с предыдущими операциями amdc6766, использующие домен "api.sohucache.com";
- "kYaQc.ko", маскирующийся под системный процесс "kblockd", взаимодействующий с "dns.baidusec.com";
- "Lb8b5.ko", анализирующий сетевой трафик для скрытного выполнения команд.
Особую обеспокоенность экспертов вызывает факт установки трёх руткитов на одну жертву, что свидетельствует о целенаправленном интересе к конкретной инфраструктуре. Домены "api.sohucache.com" и "qce8y.com" связаны с Windows-образцами, распространяемыми через поддельные страницы инструментов администрирования.
Анализ файла "MobaXterm_Portable_v24.4.exe" (MD5: 422983c7d718a45b443c7c84bb4ec04a) выявил сложную цепочку заражения. После запуска легитимного приложения вредонос скачивает шифрованный шеллкод с "http://qce8y.com/143?file=tecent.dat", который после декодирования внедряет в память Go-компонент для связи с "http://aliyunsst.com:8760". Этот троянец обладает расширенными возможностями: кража паролей (Xshell, ToDesk), перехват ввода, дамп процессов LSASS, создание скриншотов и прокси-трафика.
Исследователи обнаружили более двадцати активных фишинговых доменов, имитирующих страницы загрузки WindTerm, SecureCRT, JetBrains, VSCode и других инструментов. Все они связаны с IP-адресами в диапазоне 27.124.2.*, что подтверждает единый центр управления. Типичная атака начинается с компрометации через поддельный сайт, установки скрытных руткитов и бэкдоров, позволяющих длительный контроль над системами.
"Группа демонстрирует высокую адаптивность, оперативно меняя параметры атак при сохранении базовой инфраструктуры. Их фокус на администраторах объясняется доступом к критическим активам", - отмечают аналитики. В качестве мер защиты рекомендуется проверять домены перед загрузкой ПО, использовать только официальные источники, регулярно обновлять системы и внедрять решения для мониторинга DNS-трафика.
Индикаторы компрометации
IPv4
- 27.124.2.177
- 27.124.2.181
- 27.124.2.193
- 27.124.2.200
- 27.124.2.202
- 43.138.184.170
Domains
- 360now.store
- aliyun06.360stcp.com
- aliyunsst.com
- api.sohucache.com
- dns.baidusec.com
- qce8y.com
- sogoucache.com
URLs
- http://aliyunsst.com:8760
MD5
- 0527ad5061ac6b46846a72245a4d0474
- 1a9d97ea7a883ac02e336b653a3012ea
- 422983c7d718a45b443c7c84bb4ec04a
- 4839fc8b6a410d55acde4b47785153f4
- 4990da22d0b2e91989f649049431acfa
- cfc594017603cc8cd9e4bf645f26bc5d
- ffc2987fddf1fd14f8f31c5497aedb3a
