Обновление инструментария Fairy Trickster и возможная связь с группировкой Lifting Zmiy

В ходе мониторинга фишинговых кампаний, направленных на клиентов Solar 4RAYS, был обнаружен расширенный набор инструментов, применяемый Fairy Trickster. Помимо ранее описанных утилит, злоумышленники используют Socks5 прокси-сервер tsocks и .NET бэкдор cplhost.exe, который предоставляет интерактивную командную оболочку и поддерживает такие команды, как load, dir и whoami. На этапе постэксплуатации применялась обфусцированная версия утилиты T1ck3tDump, предназначенная для дампа билетов Kerberos. Примечательно, что данные об авторстве были изменены на строку, отсылающую к группировке Anonymous Sudan, хотя прямых связей между этими группами не обнаружено.

Атаки начинаются с фишинговых писем, которые приводят к запуску начального бэкдора PhantomRShell (remote.dll). Через него загружается более функциональный бэкдор PhantomTaskShell (update.ps1), который затем закрепляется в системе через создание задачи планировщика, запускающей VBS-скрипт run_update.vbs. Этот скрипт исполняет основной payload, обеспечивая устойчивость к перезагрузкам.

Для сбора данных злоумышленники используют разведывательные команды, такие как whoami, arp -a, netstat -ano и другие, чтобы получить информацию о системе и сети. Затем следует этап загрузки дополнительных инструментов, включая утилиты для эксфильтрации файлов, такие как load.ps1, который собирает документы с расширениями xls, xlsx, doc, docx, txt, ovpn, rdp, lnk и другие. Файлы эксфильтруются из каталогов пользователей, включая Desktop и Downloads.

Для обхода сетевых ограничений атакующие применяют обратные SSH-туннели, используя скрипты типа dnsclient.bat. Команды туннелирования часто меняются, что указывает на ручную работу операторов. Также в арсенале группы обнаружены утилиты для управления облачными хранилищами (rclone), прокси-серверы (rsocx, tsocks) и инструменты для сбора паролей, такие как XenAllPasswordPro.

Одним из ключевых наблюдений стало использование обфускации, которая очень похожа на методы, применяемые группировкой Lifting Zmiy. Например, в новых версиях PhantomTaskShell и утилиты T1ck3tDump строки модифицируются путём добавления префиксов и разделителей (например, V|VBS created:${__B_8m}). Аналогичные изменения были замечены в мае 2025 года в инструменте BrockenDoor группы Lifting Zmiy, где команды и строки были сокращены и изменены схожим образом (например, set_poll_interval превратилось в spi, а run_program - в rp).

Это сходство может указывать на использование общего обфускатора или даже на более глубокую связь между группировками, хотя пока нет прямых доказательств координации их действий. Возможно, инструменты и методы были заимствованы или приобретены на теневых форумах.

Группировка Fairy Trickster демонстрирует достаточно высокий уровень адаптивности, регулярно обновляя свои инструменты и методы для обхода защиты. Их основные цели - сбор конфиденциальных данных и аутентификационной информации, что может быть использовано для последующей продажи или проведения более масштабных атак. Обнаруженные связи с Lifting Zmiy подчеркивают сложность и взаимосвязанность современной киберпреступной экосистемы, где инструменты и техники могут быстро распространяться между различными группами.

Для защитников критически важно отслеживать изменения в инструментарии и тактиках таких группировок, уделяя внимание не только сигнатурам, но и поведенческим аномалиям. Рекомендуется усилить мониторинг необычной сетевой активности, такой как SSH-туннелирование, и обращать внимание на запуск подозрительных скриптов в системе.

IPv4

• 185.130.249.224
• 185.130.251.116
• 185.130.251.219
• 185.130.251.227
• 185.225.17.104
• 185.255.133.195
• 188.127.254.234
• 195.133.32.213
• 91.239.148.21

IPv4 Port Combinations

• 185.130.249.224:80
• 185.130.251.116:80
• 185.130.251.219:80
• 185.255.133.195:80

Domains

• nextcloud.soft-trust.com

MD5

• 04f1afdeb99129552927ba931238d2d7
• 0a7df52c84d9cd46c5c7c1153929a3d1
• 108cd0f50d2eaf4b12975053cf216bbb
• 159a6cda60ccba16c1db275ec6251c3f
• 1947b7e7855667219334ac4ba511ce2e
• 22b24714b5908ac7eeba05487dec9d76
• 38daa3cd309376f3ccdc60c7eb332daf
• 46ad80c437b8eadc1f72b209c2160b32
• 50ab56a1fc33a6185fb9003a262d2ec9
• 6c3ebc9dad2a108792a001aca5e59763
• 783525c868e85bbe2872177055750814
• 81b6d93dc4ab7248b8ba0a66d4fce560
• 8413c5156af3741cf9bda4c1a398298b
• a8992f817bacc4a01211d40d951dc0ac
• c6258a3b2c6a0bea57b36ced383ec775
• c9d9620334d5ec58a4573623a977f6ee
• cd915c6d6cb455fb2786cb4e2debdafc
• cf2210d49ef5b3d219e4d0c962c5e0e8
• d71bb4387da469aa01d4208034f0ec3a
• e2b2631db1ba76ee8ec5d18ba5175bd8
• f4a3d72628a1e1cd5f8bd4e705a78022
• fc6d2fc336de9f974a0bf27e506d79d3
• fd2c7190238e09b066b212717ac4db64
• ff6ba80443630289c6201d51950d7c9d

SHA1

• 06dfc1f34c6ca753a847455c6be5c8472c0b0fb1
• 1cdcd766868507379778e11942cc53756335f3fd
• 28513f343f4a0a857fe9314d2b68b8e2e2b35b83
• 3f85c5a959c41b7481d8e0370fc594f12266ed13
• 58b01ba209eb5f8bf99a46be4bab9d39084b3593
• 59f2989259f857f57501b33c39231d3127075ea2
• 5fe6ae13ed4d0b3302a023cd81eed28252b8e166
• 6f92c047e8a7f5730e2b2faf9f78e5f1f2d9860c
• 74502cf86498d4fbee9fb1c1fdd5dfe94cb7b09b
• 7964120cd684e7f001a655f5c5de224c8da42a13
• 7d3ee309dc267acdf806837b06d76c473de8c92b
• 8967440ed45c6b53f9e146a644d73a431f560591
• 8c1dda2ddc8cdcd24d5f06fbf1ba0570d58e26a5
• 9f8f60e2c3c33ede923be622dd60f623a064e6dd
• b5c8db9a6c645469bcf4582dfd7f66050206579f
• ba42c5e22991472408e46fa67789a99282b2b377
• bdea783f447b49349213906f38450ceb87ec682a
• ca92192d9dd75e0a389800f9df107221741cd98b
• cdb8306c4602df53a8200054dddc5fcba23dba50
• ce5f4a560daa677993f7ec319b1a5116cf35aeda
• d3dd5668d996b4574abca3a7d025842ddc72935a
• de94dd78691175b4110b6b7bdac3831ce7a32b1f
• ed09b09d005634a1dc17812274963bd06e5b9989
• fb0ebf2cfe7c7b9ac8710ee61ca9d6318981b906

SHA256

• 2a0d5c3a17e5c7fee3d7a798dcc2d3d81688a05092d709b177afddcdf0096db5
• 2d886a2f0f5e96346a560af06654b9b04d1755e683ce6397ee5b46f183fb4996
• 4619cef20c15d0fdee44fabaccf93916f53a02971d5c87cfd30faabfff57309e
• 5540f27f12db5a9e954727079665a282f905a0be787b76d798ca79a318d197f5
• 5736b3f21666968e388c1e49da42a1fcbbd6a3b5c8f0cbfe5be486208b396957
• 7da87f51e939400c473b77945f0f1e8950847aeabf2becc76b0fbe26e46ed7a4
• 8f4a3e22d0c988ee8574392533da8b9256f79c87770820e1ec530d3b9dbd9fcd
• 9880988bff19825504313eca505b0a4192bfb757a4a4dbe33ab40543cfed8b64
• 9b2866063b0f5e2e72cbc60fb5b0b267f03b1e0f47ef71a10c2df63b1b5c67da
• a5b7af0b5faafecf3b9ed135d728c726c652deeed5dd8ac72148536c488378a1
• b478664d0bb1dd1bea7b30136be4cb4e7ca1da6c1eca55817b557b9e4c5097ec
• c3985a240abd9a0a59ba51aab48f6263ba92c2450cba2537513c55f2fb942523
• c504d1a6ce6b08488f2f8d07f6f397d8ee14df00982be7c6e2d6e28111018630
• c97f7a2f09b5f17d1c1ced5eed68946dc8d4a7a2b3116a806ab29e29717c16b9
• ccaee012d7dded1e58f8d8c20e0a26f7cd16d337539e131e238fc2b2e77a2d04
• d42d16e11947a1ed548fd2f23b4d9226d3282badecf8f254e4da747a8659a60d
• d6b3645c750d1dde284c1b88011f4b89f4987dc2a248c2ccd54a8516f75616c3
• d7d6894c2fbce3d91af8de50e7cd649f12627d94a1a9b430f6e583714d48be29
• e21c4b8a7fd4673410f395acc0963a80064ee9831a600dbed469a7e02123ffad
• e5406942ce12debae0f6720e5dc4dcb2c80b032fb8ed260d313af3c695336318
• ea54123d430337271f7b6e03aea653af817cea20a64fa6aa082f44ca2b01c2db
• ebef31df330554290f519db3f16bb4efb326f2c9d6b93601ea3c67d2374f3a7a
• fb2c943ba8babbd5ec0c210093acebbbe642fb83a4a09fa0fe427acb599ef13d
• fbde1d8fdb5f66fc6e61e2fe6896bcfffffeaf6ae68b8c7d19f1078c76ba41af