Недавняя операция платформы Deception.Pro, в ходе которой использовалась система-приманка в секторе туризма и путешествий, позволила детально зафиксировать сложную многоэтапную атаку. Исследование выявило цепочку заражения, которая началась с дроппера Oyster, маскирующегося под установщик Microsoft Teams, и завершилась активной разведкой с использованием интерактивной оболочки. Атака демонстрирует эволюцию тактик злоумышленников, сочетающих автоматизированные вредоносные программы и ручные действия.
Описание
Инцидент начался 26 ноября 2025 года в 15:46:37, когда пользователь на системе-приманке запустил вредоносный исполняемый файл, замаскированный под "MSTeamsSetup.exe". Этот файл был идентифицирован как дроппер Oyster. Спустя всего 15 секунд, в 15:46:52, вредоносное программное обеспечение создало задание в Планировщике задач Windows с именем "AlphaSecurity". Данная задача была настроена на выполнение каждые 18 минут с привилегиями "SYSTEM", что обеспечивало устойчивость (persistence) за счет регулярного запуска вредоносной библиотеки "AlphaSecurity.dll".
Полезная нагрузка (payload) начала выполняться практически сразу после заражения. Уже в 15:46:41 установщик запустил системную утилиту "rundll32.exe" для загрузки библиотеки "AlphaSecurity.dll". Эта библиотека инициировала защищенное TLS-соединение с несколькими управляющими серверами (C2). Среди используемых доменов были "nucleusgate[.]com", "coretether[.]com" и "registrywave[.]com". Установление такого канала связи является классическим признаком работы бекдора, позволяющего злоумышленникам удаленно управлять зараженной системой.
Следующим этапом атаки стала кража данных. В 15:49:55, как дочерний процесс, был запущен известный инфостилер (InfoStealer) Vidar под именем "white.exe". Конфигурация этого вредоноса была получена из так называемого "мертвого дропа" (dead drop) в Telegram по адресу "hXXps://telegram[.]me/bul33bt". В образце был обнаружен хардкодный идентификатор аффилиата (affiliate identifier) - "30aa25e6f81696a663ef814f75e1e76d". Использование инфостилера указывает на то, что одной из целей злоумышленников был сбор учетных данных, cookies, данных кошельков и другой конфиденциальной информации с компьютера жертвы.
Наиболее интересной частью инцидента стала фаза активной разведки, осуществляемой непосредственно человеком (Hands-on-Keyboard, HoK). В период с 15:52:51 26 ноября до 03:20:05 1 декабря на зараженной системе была развернута оболочка Supper socks ("ore.dll"). После ее выполнения злоумышленник вручную запустил командную оболочку и начал серию разведывательных операций с помощью PowerShell.
Зафиксированные команды включали перечисление доменов и доверенных доменных отношений, поиск учетных записей пользователей и членов групп администраторов, сбор системной информации. Кроме того, злоумышленник использовал LDAP-запросы через класс "DirectorySearcher" для активного сканирования сетевой инфраструктуры. Подобные действия типичны для этапа разведки после первоначального проникновения, когда атакующие оценивают масштаб сети и ищут пути для дальнейшего продвижения или кражи критически важных данных.
Важно отметить, что вся эта цепочка атаки была полностью документирована благодаря срабатыванию множества высокоточных сигнатур детектирования на платформе Deception.Pro. Системы-приманки, или "декой", сыграли ключевую роль, предоставив полную видимость поведения злоумышленников без риска для реальных активов. Подобные технологии становятся важнейшим элементом современной стратегии кибербезопасности, позволяя не только обнаруживать сложные целевые атаки (APT), но и детально изучать тактики, техники и процедуры (TTP) противника, что соответствует структуре фреймворка MITRE ATT&CK.
Данный инцидент наглядно показывает, как автоматизированные угрозы, такие как дропперы и стилеры, могут служить лишь первой ступенью для последующего интерактивного вторжения. Сочетание Oyster, Vidar и Supper socks shell демонстрирует растущую изощренность киберпреступных группировок, которые стремятся максимально автоматизировать первоначальное заражение и установление устойчивости, чтобы затем перейти к целенаправленным ручным действиям внутри корпоративной сети.
Индикаторы компрометации
IPv4
- 185.28.119.217
- 45.86.230.184
- 46.183.25.6
- 49.12.117.167
- 62.204.35.79
- 91.99.209.253
Domains
- coretether.com
- jui.theoptimizedbody.com
- myfirstfist.com
- nucleusgate.com
- registrywave.com
- ttr.tokiejegedeinitiative.org
SHA256
- 55a02d14de13134e77eb9cc787ac622791b38b74931d1588bb5750b06951c8c0
- c48d1803b84e1da6cb53f0bd279376247fbb0ae1d32115c44ad29bdbccbb1b71
- f34cfdc950124d26b4f2f99b192a4ab7a4163af3143c3b18bc2271ca08d6c899
- f62ec8d78fcfb236e4bf1f0f92d44ae53a187af46e0554646f2726ea6bb17a28
