Новая кампания целевого фишинга нацелена на японские компании: вредоносный драйвер PoisonX и модульный троян 10FXRAT

remote access Trojan

Аналитический центр LAC выявил серию скоординированных атак на организации в Японии. Инциденты были зафиксированы в апреле 2026 года, а затем продолжились с изменением тактики в мае. Злоумышленники применяют сложное вредоносное программное обеспечение, сочетающее драйвер ядра для отключения средств защиты и модульный троян удаленного доступа. Под ударом оказались не только японские, но и китайские структуры, что указывает на целенаправленный характер кампании.

Описание

Атака начинается с рассылки писем, маскирующихся под сообщения от руководителей организации. В качестве приманки используются темы, связанные с кадровыми вопросами. В тексте письма содержится ссылка на облачное хранилище Google Cloud Storage. Переход по ссылке ведет к загрузке ZIP-архива с исполняемым файлом или файлом ярлыка Windows (LNK). В случае с LNK-файлом он запускает команду через системную утилиту curl.exe для скачивания основного вредоносного загрузчика - PXDropper, а также открывает легитимный документ-приманку, чтобы усыпить бдительность жертвы.

Главный компонент атаки - PXDropper. Этот загрузчик содержит внутри себя два основных модуля: драйвер ядра PoisonX и троян 10FXRAT. Перед запуском PXDropper проверяет окружение на предмет анализа. Он использует собственную систему оценки: складывает баллы за количество ядер процессора, объем памяти, размер диска, время работы системы, наличие виртуальной среды, запущенных инструментов отладки и подозрительных имен пользователей. Если сумма превышает 80 баллов, активность прекращается. В противном случае загрузчик раскладывает файлы: сначала драйвер PoisonX записывается во временную папку под случайным именем с расширением .tmp и регистрируется как служба Windows.

PoisonX - это легитимно подписанный драйвер от Microsoft, который на самом деле является уязвимым и используется в рамках техники BYOVD (атака с привлечением собственного уязвимого драйвера). После регистрации службы драйвер создает устройство с интерфейсом, доступным из пользовательского режима. Через этот интерфейс PXDropper отправляет специальные запросы (IOCTL). Код 0x22E010 позволяет завершить процесс любого из 43 перечисленных продуктов безопасности, включая Microsoft Defender, CrowdStrike, Kaspersky, а также китайские решения вроде 360 Total Security и Huorong. Код 0x22E008 скрывает сам процесс трояна и его сетевую активность, перехватывая системные вызовы для просмотра списка процессов и сетевых соединений.

Специалисты LAC сообщили в своем отчете, что в мае злоумышленники изменили подход. Вместо самодельного PoisonX они стали использовать легитимные драйверы EneIo64.sys от ASUSTeK Computer и procexp.sys от Microsoft, которые также уязвимы. Это позволило обойти некоторые механизмы обнаружения, но суть атаки осталась прежней.

После успешного развертывания драйвера запускается основная полезная нагрузка - 10FXRAT. Этот троян написан на C/C++ и представляет собой модульную платформу. Он загружается через технику DLL-сайдлоадинга: легитимный исполняемый файл usoclient64.exe загружает вредоносную библиотеку dnssd.dll. Библиотека расшифровывает зашифрованный файл runtime.bin, содержащий сам 10FXRAT, и запускает его. При старте троян снова скрывает свой процесс с помощью драйвера, отключает Microsoft Defender (добавляя папки в исключения, отключая реальное время и облачную защиту, останавливая службы), а затем настраивает постоянное закрепление в системе.

Для автономного запуска после перезагрузки 10FXRAT копирует свои файлы в папку %ProgramData%\Microsoft\WinDiagTrack, добавляет запись в реестр автозапуска, а также создает службы для драйвера PoisonX (или его замены) и специального менеджера SysProfileSvc.exe. Этот менеджер мониторит процесс трояна и перезапускает его при принудительном завершении.

Сам 10FXRAT общается с сервером управления (C2) по TCP с использованием собственного протокола. Первый пакет содержит идентификатор 0x58463031 (в little-endian читается как "10FX") и JSON-сообщение с данными о системе: имя компьютера, пользователь, версия ОС, объем памяти, список установленных программ, наличие камер, активных окон, а также проверяет присутствие криптовалютных кошельков, мессенджеров и антивирусов. После этого троян регулярно отправляет сигналы о работе.

Команды C2 делятся на встроенные и плагинные. Встроенные задачи включают получение списка процессов, их завершение, приостановку, управление службами, окнами, выполнение произвольных команд, обновление самого себя. Одна из ключевых возможностей - SOCKS5-прокси. С помощью этой команды злоумышленник может превратить зараженную машину в шлюз для доступа к внутренней сети организации.

Плагины загружаются динамически по команде C2. Они могут быть сохранены на диск (в файл plugin.dat) и расшифрованы при старте. Набор плагинов включает кражу паролей и cookie из браузеров, кейлоггер, мониторинг буфера обмена, подмену адресов криптовалют, управление Telegram-сессиями, создание скрытого рабочего стола (hVNC), загрузку и выполнение файлов, повышение привилегий и очистку следов. Некоторые функции пока отмечены как нереализованные, что говорит о продолжающейся разработке.

Специалисты связывают эту кампанию с китайской группой Silver Fox, но с невысокой степенью уверенности. Основные признаки - набор используемых инструментов, ориентация на японские и китайские организации, а также техника BYOVD, которая все чаще применяется в современных атаках. Организациям следует усилить мониторинг на уровне ядра, обращать внимание на необычную активность драйверов и служб, а также на сетевые соединения с характерной сигнатурой 0x58463031. Развертывание решений класса EDR (система обнаружения и реагирования на конечных точках) и контроль целостности драйверов могут существенно снизить риск подобных вторжений.

Индикаторы компрометации

IPv4

  • 101.32.190.202
  • 118.107.0.147
  • 154.211.86.78
  • 154.36.180.151
  • 16.163.85.163
  • 206.119.176.200
  • 38.76.177.39
  • 38.76.177.41
  • 38.76.177.46
  • 38.76.216.30
  • 38.76.216.9
  • 43.99.101.175

SHA256

  • 0c28722f65ea34adf7f1ea4d9ce85efdd23b12e8b29cb7ffc532cc4d65cc0d70
  • 0fb45474ca58bd67220f79b0e3b07f940270c371ba56e27d3e2b99bf4dbb5174
  • 185d48d401b7122110d6efefec99edfe23d3e6c32e9069d30c5153f68337e5b7
  • 18f9d838be08b4fbe93a504b534a25af35d5cfb872bf5a2d1a00a38666adf05d
  • 1dc91978f9a184b47d34751c48538e08c1af3f44ee12a6e0b5ebbba7f18e0185
  • 249140ec643efec958ca18df77a6ce8d66f48ba066b7f4b3c07af1357f773c5e
  • 2862f94e244b33e46e783c006c1ee0fd314e53739bdce072487ec598b9679554
  • 2f8c9a84946b2167e000c5013981e18ac8dde3e181a202c18d9833c7db7a5eb3
  • 34fd921c94f0a97b5154259a7690e500da7f8314945e28c1f23da10e04334cc7
  • 3784b9a72315ddde9bf5b6c40b75307077a0d394e1970422b8eea7f566e3b008
  • 3840e1032485f77dbc1be8307868d4a528199edf80eab217e11f46e998cab96b
  • 398a137205b3d93e8efbbf82be36d759376b9076ce2b73fb7ace435a1602e3e1
  • 3e0180642c4f6584a1fd669a287894d10a66368fd1c5a5b0bc37200884513df8
  • 45ee03334f320689e213382a7d4a42b1fcf6754eb49eb24c063e9f1a1f5057ac
  • 4cb3a8d5248bdf2298056c08622fe0c354e0d4beeef77ee7d1bc8d47fc46ed57
  • 507a3bd184c32b66645d6aaa7e976e667ee067a10475ef26ba05d17004d34783
  • 5780bb2e770c1264a7eb08a6fcd8ab5f278ba50d2992567d7f6d3712ecee3e3a
  • 5921e03cb937295a0e3250045a2119b89408f4059c2be3ed0c9b001a16642346
  • 5f3ba5a54f05a2be7191c1f4cc834a27bbb5a376420f99246e1fff3c9d33d869
  • 61ad516612d11eb7ae3859a16bb741671a33a47d720b20b3d5ae63365aedaad5
  • 6e7b2ba60948761571f8f5a5fed1ef65291ba561ccfd2e67176446690eaa45e3
  • 6fbaad2f00afaa94723fa7d5bd46e7ea4babb7ce478a8e7229ce7bd4b85e0f51
  • 75a69700d3633e1a26f444dcad50cb73411c2217485fa297c8f19b24437ab605
  • 8daf35c88da4b83b9d01ae36be99394ad296ea1de868c293fc5cb53b9538a848
  • 93a830aa48de0a51e369d27b9561ac0fd034ee4839f4141274d35e8b10c80be5
  • 989c7646783861ec191336b0fea55ad49282268f97678f2b77f4406cd2d516ea
  • 9d54e751d1b5a8bf868f1a168e98a727a576b500564d245f6371e02f0696cb05
  • a14034f391c6a54bc03b132b1371c106f809f1f2dd695322c2354da0e1f8d66e
  • a5c8faa22ad4b7ab2c4f5a521002c5e4d3a7b9c8e759de54ff8032c61f9ef892
  • aa6ba4ac4cc6ee56ed87055e91aaa186bc06a5e48dfbf8a36de0ea3205cb0614
  • ad022169abf4e46161eb007fde2a9c3841d73cdb9d8e895719321348d7d28c2b
  • b892981af3ca699d13f07ddcf75c2df62c1543b071278b4cc1ac0993d8b9dc01
  • bf0fdd4e386be8b3372149b0008247b79c8a8ff6ccafc2cab373ac2e864183ee
  • c2977d86e61f2b0e6ccbae20f632553487418566fbefdf57953c82312a199291
  • cb7f1ae30628d238ccf2486238f412c67cbdff29c293f82712f577f043c944f4
  • cbbdc18c428fd7601fa51a6437da539ad58348e3e1049197024a05aeca6ac0c8
  • cef602cf75713e82b7d377952918f15c484e3e44f55ee950036368da4ee7ca4b
  • d075e163f0a7b14ff9fafc34b85503238001e94b73fe51dcf6bcc7c8f4c3cd0c
  • d0a41b72f3555bffde91a3691c44e40d96441e0ec2e44bcd13a8c862475fb47b
  • d2ae850b0488951ea8ab1873fa5af7a4b0f1318a2ab8a36c01c9f399ba0800ca
  • d416cf363968ab43e2339007a4cdf9a2d4baeb87752c8f809c0cbd7881490905
  • d6745ec2437826c50f9c6b8c38d21387f2babe44d819e361fc29450f72cfea6d
  • d750dd0ad36e7293df620bb50e025651f24462e96d28dc4c4f0153268c27a98e
  • db4b5a8ffd1d8bf5d7fc9b60b46a0fdf89ce77579cea6e439d06a5aee8b5c533
  • dc03b035988b9e1541d6551d523859abf8bfa028f999e0cfa351535724a57937
  • e34539e573256908d4b2cb3bfafed5b2265366c105b3a87677d9613429a327c9
  • e8bbfaa08f439c023275b69374e4571d4c9e98810e6728f593d2e2c01d7ab36a
  • ea92eb8560be21920ab3e917b1fa9fa2f73eb9fae7c8c61efb351ffc46e10b42
  • f6351b4f55d7c69c0c237e711f4fbd295cfdd9b9d0aa7132272accccd41424fc
  • fc70197f8a3e7788d9eefb323a8fd9a0c6e855168136a0a290c372067fa3f522

Комментарии: 0