Налоговая ловушка: кампания TAX#TRIDENT использует фиктивные уведомления для скрытого внедрения шпионского ПО

Специалисты компании Securonix сообщили о детальном разборе этой кампании. Их анализ показывает, что злоумышленники применяют сразу три разных способа доставки вредоносного кода, причём каждый использует один и тот же привлекательный образ - уведомление о налоговой оценке. Первая ветвь атаки наиболее прямолинейна. Жертву перенаправляют на поддельный сайт, с которого она скачивает ZIP-архив с именем "Assessment Letter". Внутри архива находится подписанный исполняемый файл ClientSetup. После запуска этот файл создаёт скрытую директорию "C:\Windows\SysWOW64\msres", устанавливает службу "MANC" для автоматического запуска при старте системы, записывает драйверы "YtMiniFilter" и "ytdisk", а затем запускает поддельный процесс "svchost.exe", который начинает связь с управляющим сервером. Данные передаются через порты 6671, 6681 и 6683, причём порт 6671 служит основным каналом для регистрации машины и получения команд.

Вторая ветвь более изящна с точки зрения обхода защиты. Здесь жертве предлагают запустить VBScript-файл (скрипт на языке Visual Basic) с именем "Assessment_Order.vbs". Скрипт сначала скрывает своё выполнение, используя режим "//B" (batch mode), затем с помощью WMI (инструментария управления Windows) проверяет, не запущен ли он уже дважды, и делает короткую паузу от восьми до пятнадцати секунд, чтобы имитировать естественную загрузку. После загрузки скрипт скачивает с сервера "tengxxi.com" файл-приманку - изображение, похожее на налоговый документ, и выводит его на экран в окне Windows Forms. Пока пользователь рассматривает подделку, VBS-скрипт в фоне скачивает всё тот же ClientSetup, но уже с другим IP-адресом в имени файла ("216.250.104.166ClientSetup.exe"), и запускает его скрыто. Интересно, что хеш этого файла совпадает с первой ветвью, но конфигурация в "YTSysConfig.ini" указывает на другой управляющий сервер.

Третья ветвь - самая необычная и потенциально самая опасная. Атака начинается с перехода на URL "https://xhxz[.]info/download.php". Внешне ссылка выглядит как обычная PHP-страница, но сервер возвращает не HTML, а VBScript. Скрыв скрипт за веб-расширением ".php", злоумышленники обманывают системы, которые не ожидают, что "wscript.exe" будет запускать содержимое, полученное от сервера с таким расширением. VBS-скрипт создаёт папку "C:\Users\Public\Documents\MSUpdate_<случайное_число>" (замаскированную под каталог обновлений Microsoft) и копирует туда легитимные утилиты "curl.exe" и "bitsadmin.exe", переименовывая их в "winhttp.dll" и "wininet.dll". Это приём, известный как "подмена имён" - он не меняет функциональности, но затрудняет анализ. Затем скрипт скачивает три файла из облачного хранилища Amazon S3. Первый из них - "uacMC.png". Несмотря на расширение ".png", это не изображение, а VBScript, который изменяет ключ реестра "ConsentPromptBehaviorAdmin" с 5 на 0, тем самым понижая уровень запроса контроля учётных записей (UAC) для администраторов. Второй файл - "1122.vbs", который загружает ZIP-архив "8081.zip" с полноценным пакетом для установки управляющего агента ManageEngine UEMS (Endpoint Central). И наконец, третий - сам ZIP-архив, содержащий MSI-установщик, файл сертификатов и конфигурацию.

Ключевой элемент третьей ветви - файл "DCAgentServerInfo.json", который указывает агенту, на какой сервер отправлять данные. В конкретном случае сервер "202.61.160.201" на порту 8383. Установка происходит в тихом режиме ("msiexec /qn") без какого-либо оповещения пользователя. После этого на компьютере появляется полноценный легитимный агент управления, но настроенный на связь с инфраструктурой злоумышленников. Такой подход особенно опасен, потому что подписанное и сертифицированное ПО редко вызывает подозрения у антивирусов и средств защиты конечных точек.

Инструментарий, используемый в первых двух ветвях, имеет явные признаки китайского коммерческого ПО. Встроенные ресурсы, строки интерфейса на китайском (упрощённое письмо) и ссылки на продукты SyncFuture и Yangtu (YTSCRat) указывают на то, что злоумышленники злоупотребляют легитимными решениями для удалённого мониторинга и управления. Однако эксперты Securonix подчёркивают: наличие китайского инструментария не означает, что за атакой стоит конкретная группа. Атрибуция остаётся неопределённой, и речь идёт об использовании коммерческого софта, а не о персональной идентификации хакеров.

Главный вывод из кампании TAX#TRIDENT - защитникам необходимо сместить фокус с поиска конкретных хешей или имён файлов на поведенческие индикаторы. Вредоносная активность проявляется через аномальное поведение скриптовых движков (запуск "wscript.exe" с файлами, полученными от веб-сервера), переименованные утилиты "Living off the Land" (loLBins), создание нестандартных служб и драйверов, изменение политик UAC, а также неожиданную установку агентов управления конечными точками из нестандартных каталогов. Важно контролировать точки монтирования общедоступных папок, таких как "C:\Users\Public\Documents\MSUpdate_*", и проверять появление файлов "YTSysConfig.ini" и "YTSysConfig.ytf". Сетевой трафик на порты 6671, 6681, 6683, 8383 и 8027 к незнакомым внешним IP-адресам также должен вызывать немедленную реакцию.

Кампания TAX#TRIDENT наглядно демонстрирует, как одна и та же приманка может вести к совершенно разным способам закрепления в системе. Для пользователей и ИБ-специалистов это означает, что нельзя полагаться только на сигнатурные методы обнаружения. Необходимо внедрять многоуровневую защиту, включая детальное логирование процессов (Sysmon, EDR), строгую политику установки ПО и постоянный мониторинг сетевых соединений. Только комплексный подход позволит вовремя заметить, что безобидный на первый взгляд налоговый документ привёл к молчаливому захвату компьютера управляющим агентом.

IPv4

• 149.104.24.197
• 202.61.160.201
• 216.250.104.166
• 38.76.199.6
• 45.119.55.66

Domains

• xhxz.info

URLs

• https://fgsdol.icu/
• https://goolmor.cyou/
• https://gooomld.top/
• https://gooomoel.shop/
• https://sjdkjj23.s3.ap-southeast-1.amazonaws.com/uacMC.png
• https://tengxxi.com/%E5%8D%B0%E5%BA%A6.png
• https://tengxxi.com/216.250.104.166ClientSetup.exe
• https://vsdnk.top/
• https://xhxz.info/download.php
• https://xijkwm2.s3.ap-southeast-1.amazonaws.com/1122.vbs
• https://xijkwm2.s3.ap-southeast-1.amazonaws.com/8081.zip
• https://zyisykm.shop/

SHA256

• 02693582f2a63a7492d6aa7437a679dc01fb6471357b199de1db9978cfa5fde3
• 04a765b047a765289c8e9f79878ec703c25c891f3f8ab1a2ec1af1d2ddfbc74e
• 23fa8f503da68dd5724b136f9f401ab747db352e5edd8e2c277bf7426f774773
• 27800f916566d2a564e48eb543d1c511c72b344765ff4f9bdafb113d13669f01
• 3f53c76fd5b8ecaa423c4ee66db81b8a2e65360e48deb24b1d260aef2e7d0b3f
• 452259dc297f56cf22c7932e8fbcefe821ef9c3127134074fae585f89355d397
• 50c74b468c217776b8890b841baefec8b196b14083a7873a9201c838a8e4c90a
• 50e132e8b4e8446c66e583b524ddbec5cfd820b88ee53b245a2658e7c69d7308
• 613b327fcbc283656f9fa7aee5563775dc758ea657b03d22a7802698c6c269e8
• 7beb5f7872a70b0dbd86253a17aa4cca2f601e8cd873b1eab66ea03288dff3ce
• 8e8156c5a8be682dac3b5d867031e8d5cbae031ffeb4c0ddd5e5a6b41ca76555
• 92f68fc7f6d0f544a750bf67b4903d1a4062d1372b7f98ab5c2f698eb61359bb
• 950ad7a33457a1a37a0797316cdd2fbaf9850f7165425274351d08b3c01ed2d8
• c17b620e975c2699c0850124012bb19f641ca38eb119e9b330db16fc22033bdf
• c35041d6dc9e2bfd9d924d7b205f49f2132388e834d832aad42ab63d245eae86
• dea8c5c9e40f0901033dcc9a4996369d6246d394a7378765be4c3d02682ef0a8