Налоговая ловушка TAX#TRIDENT: киберпреступники атакуют пользователей Windows в Индии через поддельные уведомления

Исследователи компании присвоили этой угрозе название TAX#TRIDENT. Их наблюдения показывают, что кампания способна переключаться между несколькими способами доставки вредоносного кода, сохраняя при этом убедительную налоговую легенду. Жертве достаточно поверить, что файл является подлинным, чтобы система оказалась под угрозой полного взлома.

Злоумышленники создали поддельные страницы для проверки налоговых деклараций, которые выглядят как официальный портал индийской налоговой службы. Когда пользователь попадает на такой сайт, он видит кнопку загрузки важного правительственного документа. За этой кнопкой скрывается файл, способный полностью скомпрометировать систему Windows.

Налоговые уведомления создают ощущение срочности. Они с высокой вероятностью могут привлечь внимание сотрудников бухгалтерии, юридических отделов, кадровых служб и руководителей. Именно эти категории работников чаще всего становятся целью атакующих.

Специалисты в своём отчёте описали три отдельные цепочки заражения, которые использует кампания TAX#TRIDENT. Все они начинаются с одной и той же ложной налоговой темы, но расходятся на последующих этапах. Такая архитектура даёт атакующим гибкость: если один путь блокируется, они переключаются на другой. Анализ провели исследователи Шикха Сангван, Акшай Гайквад и Аарон Бирдсли.

Сложность борьбы с этой кампанией заключается в том, что она использует подписанное и легитимное программное обеспечение, а не очевидно вредоносные файлы. Две из трёх ветвей атаки заканчиваются установкой подписанного клиента удалённого управления ClientSetup. Этот инструмент предоставляет злоумышленникам постоянный доступ к заражённой машине. Третья ветвь незаметно подключает устройство жертвы к настоящему агенту ManageEngine UEMS, который управляется с сервера, контролируемого атакующими. Средства защиты, полагающиеся только на сигнатуры файлов, не замечают ни один из этих трёх путей.

Кампания продолжает расширяться, при этом старые каналы доставки остаются активными. С каждой новой волной меняется способ доставки, обманка и конечная полезная нагрузка. Именно эта адаптивность делает TAX#TRIDENT устойчивой угрозой.

Первая цепочка заражения начинается на сайте zyisykm.shop, который имитирует портал индийской налоговой службы. При нажатии кнопки загрузки система получает ZIP-архив с именем Assessment Letter.zip. Внутри находится подписанный исполняемый файл для Windows, который устанавливает полноценный клиент удалённого управления. Атакующий встраивает адрес своего сервера прямо в имя файла, поэтому установщик читает собственное название и записывает это значение в локальную конфигурацию. После выполнения программа создаёт скрытую папку в системной директории Windows и размещает там поддельный файл svchost.exe вместе с драйверами YtMiniFilter и ytdisk.

Вторая цепочка использует VBScript-файл Assessment_Order.vbs, который размещается на нескольких поддельных налоговых доменах. Этот скрипт незаметно перезапускается, показывает жертве поддельное изображение налогового документа и в фоновом режиме устанавливает тот же самый ClientSetup. Несмотря на разные домены и значения серверов, оба исполняемых файла имеют одинаковую SHA256-хеш-сумму, что подтверждает использование одного и того же вредоносного кода в обеих цепочках.

Специалистам по безопасности не стоит полагаться только на блокировку доменов или имён файлов. Более надёжными поведенческими индикаторами служат имена файлов, содержащие IP-адреса, скрытые папки в системных директориях, запуск svchost.exe из нестандартных путей и исходящий трафик на портах 6671, 6681 и 6683.

Третья цепочка полностью отказывается от использования ClientSetup. Вместо этого URL-адрес xhxz.info/download.php, напоминающий PHP-скрипт, возвращает не веб-страницу, а VBScript. Этот скрипт загружает дополнительные файлы из облачных хранилищ Amazon S3. Один из файлов с именем uacMC.png на самом деле является не изображением, а скриптом, который незаметно снижает настройки контроля учётных записей, убирая запросы на повышение привилегий перед запуском основного вредоносного кода.

Эта цепочка загружает полноценный агент ManageEngine UEMS и устанавливает его без какого-либо видимого интерфейса. Файл конфигурации DCAgentServerInfo.json направляет легитимный агент на сервер злоумышленников с IP-адресом 202.61.160[.]201 на порт 8383. Агент имеет валидную цифровую подпись, но его назначение оказывается захваченным. Доверенный корпоративный инструмент превращается в скрытый канал удалённого доступа.

Специалисты рекомендуют избегать загрузки файлов по непрошеным ссылкам на налоговые уведомления или штрафы, независимо от того, насколько официально они выглядят. Командам безопасности следует отслеживать работу скриптовых движков с файлами, имеющими веб-расширения, обращать внимание на запуск svchost.exe из необычных папок и фиксировать изменения политик контроля учётных записей, когда параметр ConsentPromptBehaviorAdmin устанавливается в ноль.

IPv4

149.104.24.197

202.61.160.201

216.250.104.166

45.119.55.66

IPv4 Port Combinations

202.61.160.201:8027

202.61.160.201:8383

Domains

zyisykm.shop

URLs

• https://fgsdol.icu/
• https://goolmor.cyou/
• https://gooomld.top/
• https://gooomoel.shop/
• https://sjdkjj23.s3.ap-southeast-1.amazonaws.com/uacMC.png
• https://tengxxi.com/216.250.104.166ClientSetup.exe
• https://vsdnk.top/
• https://xhxz.info/download.php
• https://xijkwm2.s3.ap-southeast-1.amazonaws.com/1122.vbs
• https://xijkwm2.s3.ap-southeast-1.amazonaws.com/8081.zip
• https://zyisykm.shop/

SHA256

950ad7a33457a1a37a0797316cdd2fbaf9850f7165425274351d08b3c01ed2d8