Исследователи Seqrite Threat Research выявили новую кампанию таргетированного фишинга, направленную на организации в России. Злоумышленники маскируют вредоносные письма под деловые счета от имени подставного института, связанного с авиастроением. Анализ показывает, что целью атакующих является установка скрытого и постоянного удалённого доступа к компьютеру жертвы с использованием легального программного обеспечения AnyDesk.
Описание
Фишинговое письмо имитирует сообщение от ФБУ "ВНИИР" (Федеральное бюджетное учреждение "Всероссийский научно-исследовательский институт"). Отправитель использует поддельный домен vniir-avia[.]space, зарегистрированный незадолго до начала атаки. Для повышения доверия в письме размещён логотип Министерства промышленности и торговли РФ. Настоящий институт использует домены в зонах .ru или .gov.ru, а не свежие адреса в зоне .space. Поле "Кому" скрыто, что указывает на массовую рассылку, нехарактерную для настоящих B2B-счетов.
К письму приложен защищённый паролем архив "счет на оплату.rar". Пароль (dsa9568-4444) указан в теле самого сообщения, что является стандартной техникой обхода почтовых антивирусных сканеров. Внутри архива находится исполняемый файл, скомпилированный на Delphi. Анализ показал, что это установочный пакер Smart Install Maker версии 5.04, который при запуске может разворачивать несколько файлов и изменять реестр системы.
После запуска вредоносная программа открывает перед пользователем PDF-файл-приманку, отвлекающий внимание. В фоновом режиме "дроппер" (вредоносный установщик) записывает файлы в папку C:\temp\ChromioumTemp*. Примечательно, что злоумышленники создают текстовые файлы через команду "echo>>", затем переименовывают их в скрипты с расширением .cmd. Эти скрипты последовательно выполняют загрузку полезной нагрузки с сервера управления (C2, Command and Control).
Предоставленный анализ показал, что один из скриптов подключается к серверу злоумышленников для скачивания архива формата RAR. Внутри архива находятся несколько компонентов: портативная версия AnyDesk, SMTP-клиент командной строки Blat (blat.exe), утилита 4t Tray Minimizer для скрытия окон и пакетный скрипт (wctF522.bat). Архив распаковывается с использованием модифицированной копии WinRAR (driver.exe).
Основной вредоносный скрипт выполняет несколько ключевых действий. Вначале он вводит задержку в одну минуту с помощью команды ping -n 60 127.0.0.1, что затрудняет анализ в автоматизированных песочницах. Затем скрипт разворачивает AnyDesk в папке %ProgramData%\AnyDesk и конфигурирует программу для неконтролируемого доступа, задавая жёстко прописанный пароль QWERTY1234566. После этого создаётся архив AnyDesk.rar с паролем limpid2903392, содержащий файлы конфигурации, идентификаторы клиента, логи и сертификаты AnyDesk.
С помощью утилиты Blat этот архив пересылается по протоколу SMTP через сервер mail.versio.nl. Отправка идёт с адреса out@okbm-bus.nl на адрес in@okbm-bus.nl. Тема письма формируется как AnyDesk ИМЯ_КОМПЬЮТЕРА/ИМЯ_ПОЛЬЗОВАТЕЛЯ, что позволяет атакующим идентифицировать скомпрометированную машину. Таким образом злоумышленники получают всю информацию, необходимую для подключения к чужому компьютеру через AnyDesk без ведома пользователя.
Скрипт также обеспечивает закрепление в системе. Он создаёт запланированную задачу с названием "Auto apdate", которая запускает программу Trays.exe -tray при входе пользователя в систему с максимальными правами. Утилита Tray Minimiser скрывает окно AnyDesk из панели задач, делая удалённый доступ незаметным для жертвы. В финале все временные файлы - скрипты (.cmd), архивы (.rar), исполняемые файлы (.exe) и PDF-документы - удаляются, чтобы затруднить криминалистическое расследование и скрыть следы атаки.
Хотя точная атрибуция на основе только этих артефактов невозможна, тактика, инструменты и цели атаки совпадают с кампаниями группировки Rare Werewolf (также известной как Librarian Ghouls). Эта группа активна с 2025 года и специализируется на атаках против промышленных предприятий, машиностроительных компаний, авиационных и ракетно-космических институтов, а также нефтехимических объектов в России, Беларуси и Казахстане.
Исследователи отмечают, что данная атака полностью построена на методе "жизни за счёт земли" (Living-off-the-Land, LotL). Вместо использования сложного вредоносного кода злоумышленники применяют легитимное программное обеспечение: AnyDesk для удалённого управления, Blat для кражи данных и Tray Minimizer для сокрытия активности. Ранее в кампаниях этой группы фиксировалось использование майнера XMRig, однако в данном образце криптоджекинга не обнаружено. Предположительно, майнинг может быть развёрнут на более позднем этапе, после закрепления в сети жертвы.
Многоэтапная фишинговая кампания демонстрирует высокий уровень подготовки злоумышленников. Использование подставных свежих доменов, защищённых паролем архивов и легитимных утилит позволяет атаке долгое время оставаться незамеченной для стандартных средств защиты. Организациям, особенно в секторах промышленности и оборонного комплекса, следует усилить фильтрацию входящих почтовых вложений, внедрить политики многофакторной аутентификации и ограничить использование сторонних инструментов удалённого администрирования без строгого контроля.
Индикаторы компрометации
IPv4
- 109.106.178.14
- 194.87.57.81
- 198.54.120.13
- 2.23.88.201
Domain
- aviatronika.online
- fgub-vniir.space
- nova-stream.site
- vniir-avia.space
- vniir-info.space
SHA256
- 0dc0fa727f900ed5033f46f8ba6cf2d97d20ab95fd334cabc0f216da6e0622b0
- 12648cd9d425f78db2dbc6e03c14f11e6ac6aadf8b3975c23cce9519e2b58d33
- 47854deb456cb08c651b7f9ae2f9d87c72d0719de6af233340632efb3c1980f4
- F57e010541fb4ccbf23aefc4a827f753a6ff3f8792d9c04c3eea83f6963c6bae

