Операция Covert Access: целенаправленная фишинг-атака с трояном Rust на судебный сектор Аргентины

Кампания направлена в первую очередь на судебные учреждения, юридических специалистов, государственные органы, связанные с системой правосудия, академические институты и правозащитные организации. Для повышения доверия жертв злоумышленники используют высококачественные документы-приманки, имитирующие реальные постановления федеральных судов Аргентины. Эти документы, составленные на формальном юридическом испанском, содержат ссылки на реальные судебные инстанции, номера дел и подписи, что делает их крайне убедительными для целевой аудитории.

Механизм заражения начинается с целевых фишинг-писем, содержащих ZIP-архив. Внутри архива находятся три ключевых элемента: вредоносный файл ярлыка Windows (LNK), загрузочный скрипт на основе BAT-файла и PDF-документ, выполняющий роль приманки. При взаимодействии пользователя с LNK-файлом запускается многоступенчатая цепочка исполнения, в то время как жертве отображается поддельное судебное постановление для отвода внимания.

Первая стадия атаки использует LNK-ярлык, замаскированный под PDF-документ. Этот ярлык скрытно запускает PowerShell с параметрами, обходящими политику исполнения ("-ep bypass") и скрывающими окно ("-w hidden"), для выполнения загрузочного BAT-скрипта. На второй стадии BAT-файл устанавливает соединение с репозиторием на GitHub, откуда загружает исполняемый файл второго этапа - трояна. Загруженный файл сохраняется в каталоге данных Microsoft Edge под именем "msedge_proxy.exe", маскируясь под легитимный компонент браузера.

Основная нагрузка (payload), "msedge_proxy.exe", представляет собой сложный Rust-based RAT с комплексными мерами противодействия анализу. Перед установкой связи троянец проводит серию проверок на наличие виртуальных машин (VM), песочниц (sandbox) и отладчиков. Он анализирует производителя системы через WMIC, ищет сотни известных артефактов, таких как драйверы VMware или VirtualBox, проверяет MAC-адреса, сканирует список процессов на наличие инструментов вроде Process Monitor или Wireshark, а также использует антиотладочные техники, включая проверку флага "BeingDebugged" и временные тесты. При обнаружении признаков анализа программа немедленно завершает работу.

После успешного прохождения проверок троянец собирает информацию о системе: имя хоста, пользователя, версию ОС и уровень привилегий. Затем он пытается установить соединение с командным сервером (C2). Для обеспечения устойчивости подключения реализована логика с резервными вариантами: сначала предпринимается попытка парсинга адреса C2 как IPv4, затем как IPv6, и в случае неудачи используется жестко заданный резервный адрес, например, "181.231.253[.]69:4444".

Установив связь, троянец передает на сервер сигнальный пакет (beacon) с информацией о системе и рекламирует свой набор модульных команд. Этот набор, по данным исследователей, включает функции для управления устойчивостью (persistence), сбора данных, передачи файлов и даже шифрования. В частности, команда "__PERSIST__" позволяет троянцу закрепиться в системе через автозагрузку реестра или планировщик заданий, используя названия, похожие на легитимные процессы. Команда "__HARVEST__" активирует модуль для кражи учетных данных, который ожидает на диске зашифрованные файлы "stealer.enc" и "stealer.key", предварительно загруженные оператором.

Особую опасность представляют команды "__ENCRYPT__" и "__DECRYPT__". Они позволяют оператору динамически загружать и исполнять DLL-библиотеку, функционально схожую с программой-вымогателем (ransomware). Эта библиотека может шифровать или расшифровывать файлы в указанной директории, что превращает троянец в инструмент для проведения атак с целью выкупа. Все команды от C2 передаются в кодировке Base64 и декодируются непосредственно перед исполнением.

Operation Covert Access наглядно демонстрирует растущую тенденцию к использованию сложных социально-инженерных методик в сочетании с технически продвинутыми вредоносными программами. Атака эксплуатирует высокий уровень доверия внутри профессиональных сообществ, в данном случае судебного сектора. Успех подобных кампаний подчеркивает критическую важность непрерывного обучения пользователей цифровой гигиене, внедрения решений для анализа электронной почты и обеспечения глубокой видимости процессов в корпоративных сетях для своевременного обнаружения подобных многоступенчатых цепочек вторжения.

IPv4 Port Combinations

• 181.231.253.69:4444

MD5

• 02f85c386f67fac09629ebe5684f7fa0
• 233a9dbcfe4ae348c0c7f4c2defd1ea5
• 45f2a677b3bf994a8f771e611bb29f4f
• 976b6fce10456f0be6409ff724d7933b
• dc802b8c117a48520a01c98c6c9587b5