Операция GriefLure: злоумышленники использовали настоящие документы жертвы для атаки на телекоммуникационного гиганта Вьетнама и больницу на Филиппинах

В основе атаки лежит вредоносный файл-ярлык Windows (LNK), который злоупотребляет встроенной утилитой ftp.exe. Эта техника известна как Living-off-the-Land (использование легитимных системных инструментов для сокрытия вредоносной активности). Такой подход оставляет минимальный криминалистический след и обходит большинство стандартных средств защиты на конечных устройствах. После запуска срабатывает механизм полиморфной сборки полезной нагрузки на основе времени, который прямо на диске собирает полноценный вредоносный модуль sfsvc.exe из фрагментированных DOC-файлов. Затем этот модуль запускается в фоновом режиме, пока жертва читает подлинный PDF-документ-приманку. Весь процесс компрометации занимает менее десяти секунд без каких-либо видимых признаков для пользователя.

Как отметили исследователи из Seqrite Labs, самая опасная приманка - не та, что заставляет жертву поверить в ложь, а та, что показывает ей полностью правдивую информацию. Именно этот принцип был использован в обеих кампаниях.

Первая кампания была направлена на военную телекоммуникационную корпорацию Viettel и сотрудников правоохранительных органов Вьетнама. В архиве, полученном с фишингового письма, содержалось восемь подлинных документов из реального судебного спора между гражданкой Вьетнама Ле Тхи Зунг и компанией Viettel. Эти бумаги включали официальные отчеты полиции, подписанные признательные письма корпорации, внутреннюю переписку сотрудников по электронной почте и даже личные медицинские записи. Каждый документ был выбран так, чтобы эксплуатировать профессиональные обязанности конкретных руководителей Viettel и следователя по киберпреступлениям, делая обнаружение подлога на основе интуиции практически невозможным для любого получателя, напрямую связанного с этим делом.

Основным приманочным документом стало официальное письмо с требованием правовых мер, адресованное генеральному директору Viettel. В нем обобщалась четырехмесячная история спора об утечке данных и содержалась угроза судебного иска. Этот PDF-файл открывался автоматически при запуске вредоносного ярлыка, полностью отвлекая жертву, пока вредоносная программа незаметно устанавливалась в систему. Отчёт Seqrite Labs подробно описывает каждый этап: от анализа вложенного RAR-архива до реверс-инжиниринга DLL-библиотеки.

Вторая кампания была нацелена на медицинский центр St. Luke's на Филиппинах. В отличие от первой, где использовались подлинные документы, здесь злоумышленники создали вымышленный, но очень убедительный донос информатора. В документе упоминались фиктивные факты финансовых нарушений на сумму 1,5 миллиона филиппинских песо, угрозы потери международной аккредитации JCI, нарушения требований PhilHealth и утечки данных пациентов. Такая приманка была предназначена для администрации больницы, служб внутреннего аудита и комплаенса. Она была создана так, чтобы мгновенно побудить руководителей к действию.

Технический анализ показал, что обе кампании используют одинаковую логику исполнения через LNK-файл. Вредоносный ярлык обращается к ftp.exe с флагом -s, чтобы скрыто выполнить пакетный скрипт. Этот скрипт собирает полезную нагрузку из фрагментированных файлов, сохраненных в папке C:\Users\Public, и одновременно открывает PDF-документ-приманку. Отличие лишь в названии файла приманки: в первой кампании это просто 1.pdf, во второй - точно соответствующее теме имя Whistleblowing_Report_SLMC_Fraud_and_Misconduct_2026.pdf, что говорит о растущей изощренности оператора.

Пакетный скрипт использует технику конкатенации двоичных файлов, чтобы восстановить полноценный исполняемый файл во время выполнения. Команда copy /b объединяет заголовок (header.doc) и основной код (WindowsSecurity.doc) в sfsvc.exe размером 162 КБ. Отдельно собирается DLL-загрузчик 360.dll, причем каждый раз с уникальным хешем благодаря добавлению значения времени и случайного числа. Таким образом, ни EXE, ни DLL никогда не существуют внутри RAR-архива - только безобидные фрагменты DOC. Это позволяет обойти статическое сканирование архивов и сигнатурное обнаружение.

Файл sfsvc.exe представляет собой специально созданный фреймворк для выполнения DLL-библиотек с расширенными возможностями. Он поддерживает команды для запуска DLL, скрытой регистрации компонентов, управления путями для закрепления в системе, перезапуска оболочки Windows и даже понижения привилегий. Внутренняя функция /calldll загружает DLL через LoadLibraryW, находит экспортируемую функцию и выполняет её, фактически заменяя стандартную утилиту regsvr32.exe. Это сделано для обхода систем мониторинга, которые отслеживают запуск именно этой легитимной программы.

Исследование 360.dll выявило многоступенчатый загрузчик шелл-кода. Сначала он использует антиотладочные трюки, затем декодирует скрытые данные, выделяет исполняемую память через VirtualAlloc и запускает код в памяти - классическая бесфайловая техника. После этого DLL переходит к внедрению в процесс: создает новый экземпляр explorer.exe, выделяет память внутри него через VirtualAllocEx, записывает полезную нагрузку через WriteProcessMemory и запускает её с помощью CreateRemoteThread. Такая комбинация памяти и внедрения позволяет вредоносному коду оставаться скрытым и устойчивым.

Декодированная полезная нагрузка второго уровня оказалась модульным загрузчиком, способным выполнять файловые и бесфайловые сценарии, APC-инъекции, создание удаленных потоков и даже запись в альтернативные потоки данных NTFS. Особый интерес представляет функция загрузки файлов частями с удаленного сервера. Когда загруженный файл попадает в определенный путь, например C:\Users\Public\tvnserver.exe, загрузчик немедленно запускает его. Это указывает на развертывание инструмента удаленного управления, такого как TightVNC.

Для связи с командным сервером используется WinHTTP API. Трафик маскируется под запросы к легитимному домену www.whatsappcenter.com. Данные шифруются простым XOR-ключом 0xBB. Кроме того, вредоносная программа собирает информацию о системе: перечисляет процессы, делает скриншоты, получает списки файлов в каталогах. Особое внимание уделяется краже учетных данных из браузеров, FTP-клиентов, менеджеров баз данных и программ удаленного доступа, включая WeChat и NetSarang Xshell.

При анализе инфраструктуры был выявлен командный сервер с IP-адресом 38.54.122.188, размещенный в Гонконге у провайдера KAOPU-HK, известного своей толерантностью к злоумышленникам. Вредоносная программа явно ориентирована на обход китайских антивирусных решений (360Safe, Qianxin, Sangfor) и целенаправленно собирает данные WeChat. Совокупность этих факторов с высокой вероятностью указывает на принадлежность кластера угроз к китайской киберпреступной экосистеме.

Операция получила название GriefLure (приманка скорби) из-за самой циничной детали: злоумышленники украли документы у реальной жертвы - Ле Тхи Зунг, которая более четырех месяцев боролась в суде против Viettel из-за утечки своих данных. Все её подлинные полицейские отчеты, медицинские справки, письма были собраны из открытых источников в социальных сетях. Затем они были использованы как идеальная фишинговая приманка, которую невозможно распознать стандартным обучением безопасности, потому что каждый документ был настоящим. Такое намеренное использование страданий реального человека как атакующего механизма делает эту кампанию уникально опасной среди угроз Юго-Восточной Азии.

Domains

• www.whatsappcenter.com

SHA256

• 197f11a7b0003aa7da58a3302cfa2a96a670de91d39ddebc7a51ac1d9404a7e6
• 35af2cf5494181920b8624c7b719d39590e2a5ff5eaa1a2fa1ba86b2b5aa9b43
• 61e9d76f07334843df561fe4bac449fb6fdaed5e5eb91480bded225f3d265c5f
• 7f80add94ee8107a79c87a9b4ccbd33e39eccd1596748a5b88629dd6ac11b86d
• 91a15554ec9e49c00c5ca301f276bd79d346968651d54204743a08a3ca8a5067
• a49155df50963d2412534090bbd967749268bd013881ddb81d78b87f91cdc15b
• bc090d75f51c293d916c40d4b21094faaec191a42d97448c92d264875bf1f17b
• bc83817c6d2bf8df1d58eac946a12b5e2566b2ffe15cf96f37c711c4b755512b
• ee6330870087f66a237a7f7c115b65beb042299f12eae1e9004e016686d0c387
• f34f550147c2792c1ff2a003d15be89e5573f0896c5aa6126068baa4621ef416