Новый RAT на базе Google Sheets: фишинговый ISO с оборонной тематикой ведёт к краже данных

remote access Trojan

Специалисты по информационной безопасности столкнулись с необычной вредоносной кампанией, нацеленной на организации, интересующиеся оборонным партнёрством Индии и Объединённых Арабских Эмиратов. Атакующие используют образ диска (ISO), замаскированный под документы о стратегическом сотрудничестве двух стран. Внутри него скрывается троян удалённого доступа (RAT), который для управления применяет таблицы Google Sheets. Такой подход усложняет обнаружение, поскольку легитимный облачный сервис редко попадает в чёрные списки безопасности.

Описание

Образ был замечен 19 мая 2026 года. Он загружался из ОАЭ и получил имя UAE-India_Strategic_Partnership_Week.iso. Внутри ISO находились два файла: ярлык (LNK) и исполняемый файл с именем Document_11052026-03578240540350-93.exe. Ярлык, как выяснилось, просто запускает EXE-файл через командную строку. Метаданные LNK показали, что он был создан 11 мая 2026 года на машине с именем desktop-526nitv. Именно это имя позже помогло установить возможную связь с другой активностью.

Исполняемый файл оказался дроппером, написанным на .NET. Он проверяет существование каталога %LOCALAPPDATA%\Microsoft\Vault и при необходимости создаёт его. Затем дроппер извлекает два встроенных ресурса: основную полезную нагрузку (RAT) и ложный PDF-файл. Настоящий RAT сохраняется как vaultsvc.exe в том же каталоге. Для обеспечения закрепления в системе дроппер создаёт задачу в планировщике Windows под названием WindowsVaultSyncService. Задача имеет два триггера: выполнение через три минуты после создания и при входе пользователя в систему. После настройки дроппер самоудаляется, а ложный PDF перемещается в исходную папку.

Теперь о самом RAT, который исследователи временно назвали PulseRAT. При первом запуске он генерирует уникальный идентификатор жертвы (UID) на основе SHA-256 от имени пользователя и имени компьютера. Затем RAT проверяет наличие мьютекса с именем Global\WinSync_ + UID. Если мьютекс уже существует, выполнение прекращается - так злоумышленники избегают повторного заражения одной системы. После проверки RAT скрывает окно консоли и начинает обмен данными с командным центром.

Главная особенность PulseRAT - использование таблиц Google Sheets в качестве канала управления. Вредоносная программа содержит внутри себя идентификатор таблицы и учётные данные сервисного аккаунта. Эти данные зашифрованы через Base64 и XOR. RAT декодирует их, аутентифицируется в Google API через протокол OAuth2 и создаёт отдельный лист для каждой жертвы. На лист записывается информация о первом подключении, временные метки последующих сигналов (heartbeat), а также результат выполнения команды systeminfo.

Ключевая функция RAT - выполнение произвольных команд PowerShell. Атакующий записывает Base64-закодированную команду в ячейку таблицы A4 и далее. RAT регулярно считывает эти ячейки, декодирует, выполняет через встроенный интерпретатор PowerShell (без запуска внешнего процесса) и записывает результат обратно в таблицу. Это позволяет злоумышленнику удалённо управлять заражённым компьютером, не создавая подозрительного сетевого трафика к неизвестным IP-адресам. Исследователю удалось установить, что сервисный аккаунт на момент анализа уже мог быть отключён, что указывает на возможное завершение активной фазы атаки.

При изучении артефактов, связанных с машиной desktop-526nitv, был найден ещё один файл - Excel-таблица Compliance_Checklist.xlsx, загруженная в апреле 2026 года из Афганистана. Документ изначально создавался сотрудником Управления по регулированию телекоммуникаций Афганистана, однако последнее изменение сделал пользователь с именем Default User на той же машине desktop-526nitv. Связь между этим XLS-файлом и вредоносным ISO пока остаётся слабой, но совпадение имён компьютеров и временная близость вызывают вопросы. Возможно, злоумышленники использовали одну и ту же рабочую станцию для создания разных артефактов кампании.

Последствия использования такого RAT могут быть серьёзными. Организации, работающие с оборонной документацией или в сфере международного партнёрства, рискуют потерять конфиденциальные данные. Традиционные системы обнаружения вторжений (IDS) и защиты конечных точек часто не отслеживают трафик к Google Sheets как подозрительный. Кроме того, отсутствие внешнего сетевого соединения с незнакомыми серверами делает атаку малозаметной. Единственным индикатором компрометации может служить наличие нестандартной задачи в планировщике Windows или необычной активности учётных записей Google API внутри корпоративного периметра.

Специалистам по безопасности стоит обратить внимание на мониторинг создания задач планировщика, особенно тех, что запускают исполняемые файлы из каталога AppData\Local\Microsoft\Vault. Также полезно контролировать исходящие HTTPS-соединения к Google Sheets API от рабочих станций - такие запросы редко бывают легитимными в корпоративной среде. Хотя данная кампания, вероятно, уже завершена, её техники могут быть повторно использованы с другими учётными данными. Понимание механизма работы PulseRAT поможет быстрее выявить аналогичные угрозы в будущем.

Индикаторы компрометации

SHA256

  • 1ba67bb1cfad42446880cca53cbd05fe66d7514b2bb139b48e5c63adff14be7b
  • 2cc7c2d8653c98e5bac32fcaf5e45b861efb4bb87df3b3f96285edb475e75bba
  • 3b16f1a2d74578beed77d870350d75202b54bd5b0460c8cf79316bc9ba812907
  • 62d62950ff7a0e43550a5d0ba55d32d5083b9de5538e0f012e406b6d951e16aa

Комментарии: 0