Киберразведка в действии: как Acronis TRU и VirusTotal раскрыли многоступенчатые кампании FileFix, SideWinder и Shadow Vector

Особенностью работы стало активное использование платформы VirusTotal для проактивного поиска угроз. Например, при расследовании варианта атаки ClickFix под названием FileFix исследователи столкнулись с веб-страницами, которые использовали манипуляции с буфером обмена для скрытой передачи вредоносных команд. Аналитики создали набор правил YARA для поиска новых веб-страниц, содержащих команды navigator.clipboard.writeText или document.execCommand("copy") вместе с инструментами выполнения полезной нагрузки (payload), такими как PowerShell или cmd.

Расследование кампании SideWinder, целевого оператора из Южной Азии, показало его приверженность проверенным временем методам. Группа продолжала использовать уязвимости CVE-2017-0199 и CVE-2017-11882 в документах Microsoft Office для атак на государственные и оборонные организации. С помощью метаданных VirusTotal исследователи отслеживали новые документы, поступающие из Пакистана, Бангладеш, Шри-Ланки и соседних стран, что позволило точно определить целевую географию атак.

Третья расследованная кампания, получившая название Shadow Vector, использовала инновационный подход с вредоносными SVG-файлами, замаскированными под судебные уведомления. Эти файлы нацеливались на пользователей в Колумбии и содержали встроенные ссылки на внешние полезные нагрузки. Аналитики создали специальные правила для поиска SVG-файлов с юридической терминологией и внешними ссылками, что позволило выявить целую инфраструктуру злоумышленников.

Важным аспектом исследования стало демонстрация практических методов киберразведки. Например, при анализе SideWinder исследователи использовали пустой RTF-документ с определённым хешем SHA-256 в качестве точки отсчёта для поиска связанной инфраструктуры. Этот документ служил приманкой и возвращался при обращении с IP-адресов вне целевого региона, что свидетельствовало о наличии геофильтрации.

В случае с FileFix аналитики смогли отследить всю цепочку атаки, начиная от веб-страницы с фальшивой капчей до конечного исполняемого файла, извлекаемого из изображения. Возможности VirusTotal по архивированию веб-контента позволили исследовать атаку даже после прекращения работы фишингового сайта.

Исследование демонстрирует, что даже устаревшие уязвимости могут оставаться эффективным инструментом в руках целевых злоумышленников. При этом комбинация различных функций платформы VirusTotal - от Livehunt для проактивного поиска до Retrohunt для исторического анализа - позволяет выстраивать комплексную картину атакующих кампаний.

Результаты сотрудничества Acronis TRU и VirusTotal подчёркивают важность обмена тактиками и процедурами обнаружения угроз внутри security-сообщества. Совместные исследования такого уровня не только помогают лучше понимать эволюцию угрозы, но и способствуют развитию коллективной кибербезопасности, предоставляя практические инструменты для защиты от сложных многоступенчатых атак.

Domains

• bollettesumisura.it
• envio-21-02.duckdns.org

URLs

• https://bitbucket.org/mondaci/feb2025/
• https://bitbucket.org/notificaciones2025/notificaciones2025/
• https://bitbucket.org/notijudiciales2025ramajudicial/notijudiciales022561134/
• https://bitbucket.org/ramajudicialcolombia202598774661/notificacionesjudiciales2025534323/
• https://bitbucket.org/sostener2025/sostener2025/raw/dba07cfa9b172f070ea28bea7b1c46171fd2e45b/envio-2102
• https://bitbucket.org/sostener-marzo-2025/sostener15/
• https://paste.ee/r/PosVClIt/0

MD5

• 0651071e751e7e8cccf79beb7a0edb10
• 45ab875db5addfda0c3b148052ac3b09

SHA1

• 1327f20512762a533c22fe181be3fcdd29ab76fe
• 1a6c093f4233013fd0183f3eb0c454dca7938356

SHA256

• 1955c6914097477d5141f720c9e8fa44b4fe189e854da298d85090cbc338b35a
• 2aae8e206dd068135b16ff87dfbb816053fc247a222aad0d34c9227e6ecf7b5b
• 4795d3a3e776baf485d284a9edcf1beef29da42cad8e8261a83e86d35b25cafe
• 4cfeab122e0a748c8600ccd14a186292f27a93b5ba74c58dfee838fe28765061
• 5673ad3287bcc0c8746ab6cab6b5e1b60160f07c7b16c018efa56bffd44b37aa
• 609edc93e075223c5dc8caaf076bf4e28f81c5c6e4db0eb6f502dda91500aab4
• 60e87c0fe7c3904935bb1604bdb0b0fc0f2919db64f72666b77405c2c1e46067
• 62544cb1f0b9e6e04433698e85bfb534278b9bdc5f06589c011e9cb80c71df23
• 6d4a53da259c3c8c0903b1345efcf2fa0d50bc10c3c010a34f86263de466f5a1
• 9bbbcb6eae33314b84f5e367f90e57f487d6abe72d6067adcb66eba896d7ce33
• b3e8ab81d0a559a373c3fe2ae7c3c99718503411cc13b17cffd1eee2544a787b
• b5311cadc0bbd2f47549f7fc0895848adb20cc016387cebcd1c29d784779240c
• c3319a8863d5e2dc525dfe6669c5b720fc42c96a8dce3bd7f6a0072569933303
• cb035f440f728395cc4237e1ac52114641dc25619705b605713ecefb6fd9e563
• cf23f7b98abddf1b36552b55f874ae1e2199768d7cefb0188af9ee0d9a698107
• f3208ae62655435186e560378db58e133a68aa6107948e2a8ec30682983aa503