NetMedved: новая фишинговая кампания против российских компаний с использованием устаревшего RAT и нестандартных протоколов

Кампания стартовала в середине октября с домена cdn-reserved[.]com. Злоумышленники рассылали архивы, содержащие документы-приманки, имитирующие реальный документооборот российских компаний. Вместе с ними распространялся вредоносный LNK-файл, который при открытии запускал PowerShell в скрытом режиме. При этом антианализ-проверки были встроены непосредственно в командную строку ярлыка, что нетипично для большинства фишинговых атак.

LNK-файл выполнял несколько этапов проверки окружения. Во-первых, он искал запущенные процессы, связанные с отладкой и мониторингом. Во-вторых, проверял аппаратные характеристики, включая количество логических процессоров и разрешение экрана. Это позволяло избегать анализа в виртуальных и исследовательских средах. После успешного прохождения проверок начиналась загрузка основного вредоносного модуля.

Изначально использовалась цепочка с PowerShell-сценарием, который скачивал ZIP-архив, замаскированный под PDF-документ. После распаковки запускался как документ-приманка, так и NetSupportRAT. Для обеспечения устойчивости в системе создавалась задача в Планировщике Windows, обеспечивающая автозапуск вредоноса при входе пользователя в систему.

К концу октября схема атаки усложнилась. Появился новый домен metrics-strange[.]com, а вместо PowerShell-сценария стал использоваться протокол finger. Этот протокол, практически не применяемый в современных корпоративных сетях, позволил злоумышленникам скрытно доставлять второй этап атаки. Вывод команды finger перенаправлялся непосредственно в командную строку для немедленного выполнения, что позволяло обойти многие стандартные защиты.

Анализ кода, доставляемого через finger, выявил интересную особенность. Комментарии в сценарии содержали артефакты поврежденной кириллической кодировки. После восстановления текста стали видны русскоязычные комментарии, такие как "Проверяем запрещенные процессы" и "Все проверки пройдены - запускаем". Это указывает на русскоязычное происхождение разработчиков вредоносного ПО.

Инфраструктура атаки была тщательно организована. Для доставки вредоносного содержимого использовались домены cdn-reserved[.]com и metrics-strange[.]com, в то время как для управления NetSupportRAT применялся отдельный набор доменов, включая tvfilia.com, skillswar.com и abxweb.com. Все они были зарегистрированы в мае-ноябре 2024-2025 годов.

Особого внимания заслуживает связь с предыдущими атаками. Домены abxweb[.]com и pdfbypari[.]com ранее использовались в кампании декабря 2024 года, где распространялись как Lumma Stealer, так и NetSupportRAT. Тогда злоумышленники использовали GitHub-репозиторий для распространения вредоносных файлов. В текущей кампании произошел переход на собственную инфраструктуру доставки при сохранении ключевых элементов.

Лингвистический анализ предоставляет дополнительные доказательства связи между кампаниями. Учетная запись GitHub под именем prevedmedved6724993, использовавшаяся в 2024 году, содержит отсылку к известному русскоязычному мему. Это сочетается с русскоязычными комментариями в коде текущей кампании. На основе этих пересечений группировка и получила название NetMedved, где Net отражает использование NetSupportRAT, а Medved - ссылку на идентификатор prevedmedved.

Эксперты отмечают, что группировка продолжает развивать свои методы, демонстрируя высокую адаптивность. Переход от GitHub к собственной инфраструктуре и эксперименты с редкими сетевыми протоколами показывают стремление избежать обнаружения. При этом сохраняется основная цель - получение удаленного доступа к системам российских организаций через замаскированные под легитимные инструменты RAT-программы.

Рекомендации по защите включают блокировку указанных доменов, ограничение выполнения PowerShell-сценариев, мониторинг нестандартного сетевого трафика, включая протокол finger, и повышение осведомленности сотрудников о фишинговых атаках. Особое внимание следует уделять файлам LNK из ненадежных источников и архивам с документами, имитирующими корпоративный документооборот.

IPv4

• 104.21.40.161
• 104.21.67.63
• 104.21.85.42
• 144.124.233.138
• 144.124.234.163
• 172.67.223.25
• 185.158.249.54
• 185.158.249.64
• 31.214.157.214
• 31.214.157.85
• 65.109.65.153
• 80.66.76.115

Domains

• abxweb.com
• api.metrics-strange.com
• bspaco.com
• cdn-reserved.com
• metrics-strange.com
• nbmovies.net
• nicevn.net
• pauldv.com
• pdfbypari.com
• real-fishburger.com
• sara.x-projectlys.com
• skillswar.com
• tvfilia.com
• x-projectlys.com

MD5

• 002bca1bb5ccc22049aa918aafc174a7
• 01264394800dd0ded80b873d339aaebf
• 01a43d17f909792addcc004bdd513963
• 0b314bd55b9a3e318e3c207e597f3e5f
• 192c0538c375d9c5064a39f07e5b3744
• 1b8fef7767370b985214470cf4e56a24
• 20ddd51ca6febc3ddf10a93230aa569f
• 219a47f8a1820d131fa90f0e15230197
• 25f5b04a7cb54ae588235cf7cf3a89f4
• 31c60c6eca6b9d7349a85ceb0cba3d8b
• 3ffdae649a03c010e8d2297311634ac3
• 410879d8562a64d5cd7034bbff462655
• 435e3d7ab7f4939a00332f823a923c8f
• 63a769becb77120637e242b5a3e41649
• 7c747a3bae1b6093273fb59be92947c8
• 7cb00849d03ffa13ab9e5b077e161608
• 7cec93c66b8fce48eb393c176936d146
• 7dbb2d7f7fb06c12739b719d9653c57b
• 807cf9936885bbc4ee06e4ece0392cd1
• 8136af34863b2eba580aa022bf0ca912
• 81e4ee273f7d4eaaba6ec1c31088d59f
• 84677cb94f1772c22d9d82114a4a4038
• 8944560ed965974f843fc984e417457e
• 8c021c5d85f635286c0c4878ae3dfacc
• 8ca3640f4dedf5caa352efb72a19914a
• 8d4ac3cb056d331ca382d1b1b6dae3a4
• a3f88b1b992f9c4a56e07fd59dd394af
• aefa1b33765e08e264b5d2d15f3f260e
• b43fc607fabdee781ca6877a04a97f2d
• b45f2ae24457d9a3cc44f4c6c183211c
• ba454a50b727cd724066ce2cfd575b9d
• d0f7cdde46cd23cb01d70c88b92e7080
• e1649ded8b6f6b591ec903387a9de93e
• f2547fd021e9af337f22537cfffa8b12
• f9b64f0da33c475658ea206a484d236f
• fc53d4925a9e5f0a2d84bb7185da1874

SHA1

• 111c9272b9d0ca9836fcef79fc7a502117764308
• 1c7bf6e246b211e42f22d6d9e74d3f33dc83d835
• 1e842b5aa270657aedeced10e105432508997532
• 251a012f8489db93e280c46c59bd341b76b58136
• 277a95d0095bb39ab7ea4d8c9b3077010d2ee511
• 2d07e5f0c97a5150f80130e3d05deb3dd2440c2e
• 3aff248f75a54b6e8f14b07c35cc4e5d19b43fb3
• 4c70f17b2e9a7e223b30b5c00d5512a157738b7d
• 4ca145a304aa5b2706da90e4d2ed493e986e28d3
• 4de3b3a50ee9169f8826f98167c0c3697538bfa8
• 5363f611e91e2a1433cb9502365ae47708adec29
• 586edeac5a77f604016b6921369c8816bed3659e
• 5a401eefb9c3234841f2f9060745ebac61eade33
• 681ae1f5dcbafd30167b8b158b0c937a2a3f6023
• 6c51276cc02b6e10f0c18f2459f121e44f8cea3f
• 72a65f4684fd413858b8791a697fad6051fb6ec2
• 7cc19bef3359350561896c08a021757f7df3d6f1
• 890766ecce25a487864f71a71c519a9c4fc68dbb
• 8a27e37499c26e1e465375ecd1bfb3f0ae9bf8db
• 8fb720d4eabe22820b2affd76a56495feb297422
• 9bfcad0f12ee36fa7a15de5e52b5fe416c7f9db6
• a09a56aa6285884082a3eaca89a93ca438f19468
• a34a796d8d342f2d54d5db601522dbe4b96a81ec
• a3f420516b31e3ab5a49ebcc7026f6f47fcaa44e
• b19532b2b8d684d3adb7204046a60ab58b64b993
• bd1de96110ee8770df1ebfd4420ddb8ed5869e33
• c157e587545ba74980026bd082301e23cc2c002f
• c30516b6a3894821d6a472f9ec18ae526857c260
• cc404afb2d49861bfacfa25b8aa07c68c69d4ff6
• d1d41e0701fa58d3c4113634260f93f7e7c46836
• d2f5d23bd424fd552b96432f097c94a8388b94ea
• d3b726039aead4cac409a9e4257027036469f8e3
• e148be1c9148c0542475237b78d40face8252ee2
• e44b913a1694a61705344ce406f77301defd8ec5
• f1d4d04186a3262d455c40e2d8377d6646a03dee
• fec85d048c284db87859ade0d68734683fe1352b

SHA256

• 007ec4eadad16fed2361486bbd79ce8491db3aeae615fef9069e274609233e2f
• 05464b16c6ea40cd93d39b7c0a20c136be2b7921818aa5041b7b98a7cbbf270f
• 0c166f4c7475ec6d15ac00b9b7bc9cf0d7bb53eb504e14f153af08dfe05c40e2
• 0c61883da958fb23e03eac577b169d5e7535910b5a12916fe6d2a94f6b40a89e
• 0f430f2772119b62d32b7812b44726f7d1f3ffc9f9f9ca86b7a0a0c8b314215d
• 1027cd7578146cafe39eacf1ed6d2048aa12fc6936d2594d49eb093c56b2d840
• 23eb791345d1a125c2c5988fb7a8001824a328a248f0c7588973b045b50bea69
• 25a7dc3f0f16a6f1e69db6e80143f2a8788c5542246966c081a06bf9767264fe
• 2e851fcc4eb8e60f350ce68b686cc1ce3c4a0370c28a230a0f3468358907c075
• 2fdabce92c1915556f2e4d5cfdf34f18147d1e09c454c3758a4dcf31431e1e62
• 340f085668d115b4f0ae586b26ecc3cc5a977449989221e02a13b09decbf9bb9
• 3983a383b532c32dfbab8958ad1b35fc8cb3fc3141b5016dd01fcfbfd3c0cd3b
• 44e29f1e03d3ff663058338363f144326b1e83a63a43caea86e313c3b8bf98a6
• 4546d8fa49836ae06af4df56fca03905afd4d7df60d171cc2c959be03d1d94b2
• 4fed61b2f93f4ef51777ac2f381a89e564c8ddf941ecef9f3f7f1e9c370ff0a3
• 51012e5e9ee205efe5025e0a83cce90dca5719268229c91b6777060c1b4578d0
• 59f3acf7a2099899807685c631d8a64af0e784a046a48f45ba2cc40d2e785444
• 5b83e99dfeeb8c30dc72059d369bff0109c40cb5d9aea63245d90a1ca4a36232
• 7573e2a6a6a4a5c21bc3f81a53262e3ade3871fd00ab06b9cf9f9a28c45926f2
• 76d3a58f3fb14e1d8435eabaac21c84f9d256bcd241da3da44b70c4a606134fd
• 7ffc177f931c6df8542cc87c9da95d3f3a51b587c237253b6091e83451d7c3a2
• 8de51b085e9ae644099bebe8e95ec1d5dbe2b854b4d20d8f33c9160458f6c413
• 98a693f412da7b5e5fa790ab54e1c4737ce628ddaedda6cb2359214ec17c11a8
• a4cf4c55312222dfa5c9e08034377a2efaae3b94213c1283c3e2145d2677c3d3
• a55733d4055fe83817b865638b71690fe8f32de77eec04498171fd7e1cb3eb67
• a68b10d3a36423d44d36274dc995a5f11bfb1dd5bba6de81071e9ced8dc780f3
• aa666ff1e5276677b9995f86399743aaad38a6b70b53a124062aa69c798760b6
• b302c16d60f055ec37833e45b091f20b6eae3248be74f389094e69d20f496a7b
• b69c5134a453d19ddf94967c49dd9ecb825ae2461d491f67d09fb5bda5dd27be
• bf0df57d9dac2aafd89f30d818749d3ce15afe488dcdad912e8996bfd3d0b3c1
• cb2c2f492fd44afa9279ee8d4a8a6e8ca11ab65a9224a18da9ba8b0d8f6bec14
• cc6219c710d5bd0ee986b479723ab4f42027da0f28a49fad66d9f3280774e654
• d3aea6e94151bcbb8ac451c50a3a6a5693162521b7d61c53e57c91e4c91c1eb4
• dddfc3c5ca754144b430df11a78a048609106f9d12db4b1fec309bb9805743ec
• e34552a5338872919b3e0f15efc9c27641479750ca2a43ac7cc5c9b15f15ad20
• ea3d66b8e53cf2475ef89c94d917529360325f3464727a54a3be2aa2ffde0e2b