Киберпреступники нашли новый способ долгое время оставаться незамеченными в корпоративных сетях, умело используя легитимное программное обеспечение с цифровыми подписями. Новая вредоносная кампания, активность которой резко возросла в августе 2025 года, использует подписанные инструменты для удалённого мониторинга и управления в качестве первой ступени атаки. Этот подход позволяет злоумышленникам обходить репутационные фильтры и системы обнаружения и реагирования на конечных точках, которые доверяют сертифицированному коду. Основной целью кампании становятся организации, где такой легитимный софт используется ИТ-отделами для администрирования, что делает атаку особенно опасной для бизнеса и государственного сектора.
Описание
Атака начинается с проникновения в систему инструмента RMM, имеющего действительную цифровую подпись. Это критически важный этап, так как большинство современных систем безопасности автоматически считают подписанные известными вендорами исполняемые файлы безопасными. Получив таким образом первоначальный доступ, вредоносная программа не запускает подозрительные процессы самостоятельно. Вместо этого она использует сложную цепочку легитимных операций для маскировки. Она активирует штатный механизм обновления популярного облачного файлообменного сервиса, который, в свою очередь, запускает основной клиент синхронизации. В результате вредоносная активность "отрывается" от основного процесса RMM и выглядит как фоновый системный процесс, что эффективно обманывает эвристические механизмы защиты.
Для скрытного взаимодействия с серверами управления злоумышленники используют инфраструктуру из доменов, названия которых представляют собой случайные, но семантически правдоподобные сочетания английских слов. Примеры таких адресов - strongfitdealsforman[.]top или mensshoppinguputfitsdeals[.]shop. Эти "словослияния" призваны обмануть как человека при беглом взгляде, так и простые фильтры, ищущие явно случайные или бессмысленные имена, типичные для алгоритмов генерации доменных имён (Domain Generation Algorithm, DGA). Для быстрого развёртывания и переключения между резервными каналами связи используются недорогие домены верхнего уровня, такие как .top или .shop. По данным исследователей, с кампанией связано 224 уникальных домена и IP-адреса, а также обнаружено 340 образцов вредоносного кода.
Маскировка сетевого трафика достигается за счёт злоупотребления доверенным файлообменным сервисом. Вредоносная программа настраивает его клиент на скрытную синхронизацию данных с использованием параметра командной строки, отключающего видимую активность. Таким образом, несанкционированная передача информации в сторону крупного облачного провайдера теряется в огромном потоке легитимного зашифрованного HTTPS-трафика, что крайне затрудняет её выявление сетевыми системами обнаружения вторжений (IDS). Помимо скрытности, кампания характеризуется агрессивными мерами по закреплению в системе. Она автоматически вносит изменения в конфигурацию брандмауэра Windows с помощью утилиты netsh, разрешая входящие подключения с контролируемых злоумышленниками IP-адресов, а также изменяет права доступа к файлам через icacls, предоставляя группе обычных пользователей права на постоянное выполнение ключевых компонентов.
Хронология кампании указывает на тщательное планирование. Её низкоуровневая активность отслеживается с июля 2024 года, что говорит о периоде тестирования и медленного внедрения. Однако резкий всплеск обнаружений, начавшийся в августе 2025 года, свидетельствует о переходе к массовому внедрению или активизации ранее установленных вредоносных программ в целевых сетях. Последствия успешной атаки могут быть серьёзными: от незаметной утечки конфиденциальных данных на протяжении месяцев до полного захвата контроля над инфраструктурой организации. Угроза особенно актуальна для компаний, где различие между санкционированным администрированием и злонамеренной активностью стирается.
Специалистам по информационной безопасности в первую очередь рекомендуется пересмотреть политики контроля приложений, особенно в отношении подписанного ПО для удалённого доступа. Важно внедрять принцип наименьших привилегий, мониторить аномальные цепочки запуска процессов, где легитимные программы, такие как обновляющие агенты, запускаются из неожиданных родительских процессов, и усилить анализ сетевого трафика, обращающегося к облачным хранилищам, на предмет аномальных объёмов или нестандартных конфигураций синхронизации. Данная кампания наглядно демонстрирует, что современные угрозы всё чаще прячутся не в тёмных углах системы, а в самом её светлом и доверенном ядре.
Индикаторы компрометации
Domains
- glutebikes.top
- greenlandsforcowfoods.top
- mensshoppinguputfitsdeals.shop
- snakeintheeagleshadow.top
- strongfitdealsforman.top
SHA256
- 0546656a1c33d0a625af88b81956e5221890bc15dd1afe0f70be169134f7ba04
- 0e3689992d777f511103e9692ae294ac6a06eabcd9e93296b93307a153b5f734
- 17465b9af3af8fadb441ff59ba703de3e5d5574a633d822b727c8fe3bfbb3efa
- 1de17aa9b846203402adb255444976558feb4330b0122cac254a729b328021a7
- 28b233759ef83f7841eb8916767539b5c166e1f65c31bc39152791736a07143f
- 5d735a005e96b32029101eb00b88ebae6e837a8573a6218ef1417836033ec5a9
- a851240b0283561d207ba2721c20c1fd78deefd2fd8d0ee03088a97f5e439c9d
- eb6d0b0cdf97f4e932548f19ae10ce7a2f59007686972a2456d8bbe08115411f
