Киберпреступники атакуют компании в Тайване с помощью сложного вредоносного ПО

Атака начинается с рассылки писем, имитирующих официальные сообщения от государственных учреждений или деловых партнеров. Тематика варьируется от налоговых уведомлений до счетов и пенсионных выплат, что повышает вероятность взаимодействия жертвы с вредоносным вложением. В некоторых случаях письма содержат изображения с гиперссылками, ведущими на страницы загрузки вредоносного ПО.

После перехода по ссылке жертва попадает на замаскированную страницу, где ей предлагается скачать ZIP-архив, защищенный паролем. Пароль указан на той же странице, что усложняет анализ для исследователей безопасности, не имеющих доступа к оригинальной фишинговой кампании. Внутри архива находятся несколько файлов, включая легитимные исполняемые файлы, DLL-библиотеки, зашифрованный шелл-код и загрузчики.

Основной вредоносный компонент - HoldingHands RAT (также известный как Gh0stBins) - использует технику side-loading для загрузки вредоносного кода через легитимные процессы. Например, файл dokan2.dll создает поток для расшифровки и выполнения шелл-кода, одновременно скрывая окно основного процесса. Для повышения привилегий вредоносное ПО проверяет объем оперативной памяти (избегая песочниц с малым объемом RAM), получает доступ к системным процессам WinLogon и TrustedInstaller, а затем создает реестровые ключи для маркировки зараженной системы.

Дополнительные модули, такие как поддельные версии TimeBrokerClient.dll и msimg32.dll, обеспечивают устойчивость атаки и скрытность. Они активируются только при определенных условиях, например, при запуске конкретных приложений (LINE, WeChat) или системных процессов (svchost.exe).

После успешного внедрения вредоносное ПО устанавливает соединение с командным сервером (C2), передавая данные о системе жертвы, включая IP-адрес, имя компьютера, характеристики ОС и аппаратного обеспечения. HoldingHands RAT поддерживает модульную архитектуру, позволяя злоумышленникам загружать дополнительные компоненты, такие как инструменты удаленного доступа (RDP) и файловые менеджеры.

Аналитики также обнаружили связь этой кампании с другими известными семействами вредоносного ПО, включая Gh0stCringe, что указывает на работу организованной группы киберпреступников. Эксперты рекомендуют организациям в Тайване и других регионах усилить защиту от фишинга, обновлять системы безопасности и обучать сотрудников распознаванию подозрительных писем.

Эта атака демонстрирует растущую сложность киберугроз, где сочетаются социальная инженерия, многоэтапное внедрение и модульные вредоносные платформы. Компаниям необходимо применять комплексные меры защиты, включая анализ сетевого трафика, мониторинг аномальной активности и использование решений для обнаружения атак на ранних стадиях.

IPv4

• 107.149.253.183
• 154.86.22.47
• 154.91.64.45
• 154.91.85.201
• 154.91.85.204
• 156.251.17.12
• 156.251.17.17
• 206.238.115.207
• 206.238.179.173
• 206.238.196.32
• 206.238.199.22
• 206.238.220.60
• 206.238.221.182

Domains

• 00-1321729461.cos.ap-guangzhou.myqcloud.com
• 6-1321729461.cos.ap-guangzhou.myqcloud.com
• cq1tw.top
• twcz.pro
• twczb.com
• twnc.ink
• twnic.icu
• twnic.ink
• twnic.ltd
• twnic.xin
• twsa.top
• twsw.cc
• twsw.club
• twsw.info
• twsw.ink
• twsw.ltd
• twsw.pro
• twsww.vip
• twsww.xin
• twswz.top
• twswzz.xin
• twtgtw.net
• twzfte-1340224852.cos.ap-guangzhou.myqcloud.com
• twzfw.vip

SHA256

• 0a0375648bc9368bccfd3d657d26976d5b1f975381d1858d001404d807334058
• 143f434e3a2cac478fb672b77d6c04cdf25287d234a52ee157f4f1a2b06f8022
• 31ffa4e3638c9e094275051629cc3ac0a8c7d6ae8415bbfcacc4c605c7f0df39
• 3ce81c163ddedb132116cdf92aae197ced0b94f3fc3d1036f5c41b084a256a03
• 52632d9e24f42c4651cf8db3abc37845e693818d64ab0b11c235eddf8e011b2f
• 59d2433264d8ec9e9797918be3aa7132dbeb71e141f6e5c64c0d6f1cb4452934
• 636c2ccffce7d4591b0d5708469070b839f221400b38189c734004641929ae05
• 6558dfb070421c674b377a0a6090593fa0c44d5b0dec5325a648583f92175ce2
• 65edd9e1a38fd3da79c8a556eb2c7c595125ffec9f7483e2e6e189a08cc5d412
• 6fcd6aef0678d3c6d5f8c2cb660356b25f68c73e7ee24fbb721216a547d17ffa
• 7200155f3e30dbbd4c4c26ce2c7bd4878ab992b619d80b43c0bd9e17390082fc
• 7263550339c2a35f356bb874fb3a619b76f2d602064beada75049e7c2927a6dc
• 7d3f352ded285118e916336da6e6182778a54dc88d4fb7353136f028ac9b81e0
• 9296adb71bc98140a59b19f68476d45dbb38cc60b9e263d07d14e7178f195989
• a12d17cca038cdbf79b72356e5d20b17722c7b20bd2ee308601bac901890f3f4
• a19fdfc131e8fbe063289c83a3cdefb9fb9fb6f1f92c83b892d3519a381623db
• a6c1629b4450f713b02d24f088c4f26b0416c6a7924dcf0477425f3a67a2e3ff
• a8430ce490d5c5fab1521f3297e2d277ee7e7c49e7357c208878f7fd5f763931
• a8b6c06daeede6199e69f4cafd79299219def5bf913a31829dede98a8ad2aaa9
• a9ddd4e4d54336ce110fdc769ff7c4940f8d89b45ee8dc24f56fc3ea00c18873
• ac957ba4796f06c4bf0c0afb8674bbeb30eb95cef85bc68ced3ee1aa30e3acff
• b1ac2178c90c8eafd8121d21acbae7a0eb0cbc156d4a5f692f44b28856a23481
• bf1a7938f61a9905e1b151c7a5f925a2ce3870b7c3e80f6e0fc07715bdc258b7
• c25e80cd10e7741b5f3e0b246822e0af5237026d5227842f6cf4907daa039848
• d3a270d782e62574983b28bd35076b569a0b65236e7f841a63b0558f2e3a231c
• da3deea591b59b1a0f7e11db2f729a263439a05f3e8b0de97bbac99154297cea
• db15f45f69f863510986fb2198a8a6b3d55d8ccc8a2ed4bb30bc27bdd1bf151c
• e2269b38655a4d75078362856c16594e195cd647c56b8c55883b8e1286baa658
• e516b102a2a6001eafb055e42feb9000691e2353c7e87e34ddaa99d7d8af16fd
• e809582faccdd27337aa46b4a11dd11f5d0c7d7428ebdc8c895ea80777e4da5f
• ed72721837c991621639b4e86ffe0c2693ef1a545741b5513d204a1e3e008d8c
• f42c6949c6d8ecf648bacca08cde568f11ec2663221a97dae5fbf01218e8775a