Симуляция Boeing: фишинговая атака на поставщиков использует шестиуровневую цепочку для скрытой доставки Cobalt Strike

Инцидент начал раскрываться в конце марта, когда исследователи в соцсетях и на площадке MalwareBazaar обратили внимание на подозрительные файлы, помеченные тегом NKFZ5966PURCHASE. Социальная инженерия в этой кампании была построена на классической, но от того не менее эффективной, схеме. Целью становились сотрудники отделов снабжения и продаж компаний-поставщиков, предположительно среднего размера. Им приходило письмо якобы от Джойс Малаве (Joyce Malave) из Boeing или от "Global Services, LLC" с запросом коммерческого предложения на крупную партию товара. Вложение - документ Word с названиями вроде "Rfq and Payment Schedule.docx" - выглядело как обычный файл с графиком платежей и спецификациями. На деле же оно запускало последовательность из шести взаимосвязанных этапов.

Первый этап атаки был скрыт внутри самого DOCX-файла. Используя относительно старый, но всё ещё действенный приём, известный как "aFChunk", злоумышленники встраивали в документ большой RTF-файл. Эта техника, документированная ещё около 2017 года, эффективна потому, что многие системы безопасности, анализирующие вложения, проверяют DOCX на уровне ZIP-архива, но не углубляются в обработку вложенных RTF-объектов. Сам RTF-файл содержал шестнадцатеричное представление JavaScript-дроппера, спрятанное в невидимом для отображения служебном теге. Таким образом, простое открытие документа в Microsoft Word инициировало скрытый процесс расшифровки и выполнения кода.

Второй этап представлял собой обфусцированный JavaScript. После очистки от мусорных символов скрипт, используя инструменты Windows Management Instrumentation (WMI), скрытно запускал PowerShell. Именно здесь проявлялись первые техники уклонения от систем защиты. PowerShell-скрипт, в свою очередь, был сконструирован для обхода встроенного в Windows механизма AMSI (Antimalware Scan Interface), который сканирует скрипты на наличие вредоносных паттернов. Вместо прямого вызова методов загрузки, которые могут быть перехвачены, скрипт использовал рефлексию для их косвенного вызова, что позволяло избежать детектирования по сигнатурам. Дополнительно, чтобы трафик выглядел легитимным, загрузчик имитировал браузер, используя актуальный User-Agent Chrome и Referer с адресом файлообменного сервиса.

Критическим элементом цепочки стал выбор платформы для размещения полезной нагрузки. Атакующие использовали легитимный норвежский файлообменный сервис Filemail.com, чья репутация обычно не вызывает подозрений у систем фильтрации URL. Как сообщили аналитики, изучавшие кампанию, на момент публикации данных хотя бы одна из ссылок на поддомене 2117.filemail.com оставалась активной и по-прежнему служила ZIP-архив размером 14,5 МБ, замаскированный под MP3-файл. Внутри архива находилась полностью легальная, подписанная среда выполнения Python 3.12. Использование официального дистрибутива Python - это ещё один тактический ход, так как подобные доверенные бинарные файлы часто разрешены политиками белых списков приложений.

Весь вредоносный функционал был реализован в скриптах, работающих поверх этой среды. Основной скрипт Protected.py выполнял многослойную деобфускацию, а затем с помощью библиотеки PyCryptodome расшифровывал AES-256-CBC файл с обманчивым именем "license.pdf". На самом деле этот файл не имел отношения к формату PDF и содержал зашифрованный DLL-модуль. После расшифровки и применения дополнительной операции XOR этот модуль загружался в память процесса Python рефлективно, то есть напрямую, без сохранения на диск. Именно эта техника полностью обходит файловые антивирусные сканеры. Анализ дампов памяти из песочниц подтвердил, что итоговой полезной нагрузкой является известный фреймворк Cobalt Strike, часто используемый APT-группами (Advanced Persistent Threat, рус. - целенаправленная устойчивая угроза) для удалённого управления скомпрометированными системами.

Для обеспечения устойчивости присутствия в системе атакующие прописали автозагрузку в реестре Windows, замаскировав её под службу аудиодрайвера Realtek. Однако вместо прямой ссылки на pythonw.exe они прибегли к технике "Living Off the Land" (LOL), использовав подписанный Microsoft вспомогательный VBS-скрипт SyncAppvPublishingServer.vbs. Этот скрипт, входящий в стандартную поставку Windows, запускал PowerShell, который уже инициировал выполнение Python-среды. Таким образом, между записью в реестре и конечным вредоносным кодом создавалось три уровня косвенного вызова через доверенные, подписанные компоненты операционной системы.

Несмотря на техническую изощрённость, кампания содержит ряд заметных операционных промахов (OPSEC). Наиболее существенным из них является использование статических, жёстко прописанных в коде криптографических ключей. AES-ключ, вектор инициализации (IV) и XOR-ключи были идентичны во всех проанализированных образцах. Это означает, что расшифровка одного образца компрометирует всю кампанию. Кроме того, в метаданных документов Word остались имена "Christian Booc" и "John", а дата создания шаблона указывала на 2021 год, что говорит о возможном повторном использовании старых заготовок. Совокупность этих артефактов, включая внутренний идентификатор NKFZ5966PURCTHASE, предоставляет исследователям ценные данные для потенциальной атрибуции и построения детектов.

Данная атака наглядно демонстрирует современный тренд, когда злоумышленники минимизируют использование классических вредоносных исполняемых файлов, предпочитая цепочки из легитимных системных инструментов и скриптов. Борьба с такими угрозами требует от специалистов по безопасности не только мониторинга сети и конечных точек, но и глубокого анализа поведения процессов, отслеживания аномальных активностей PowerShell и Python, а также применения решений класса EDR (Endpoint Detection and Response, рус. - обнаружение и реагирование на инциденты на конечных точках), способных анализировать цепочки исполнения и обнаруживать рефлективную загрузку кода в память.

URLs

• https://2007.filemail.com/api/file/get?filekey=53VkMz8l67SvighkrcVFIAwFCS9tbjRQNSlziw1sS8FshApkve0_aRg5y3k
• https://2012.filemail.com/api/file/get?filekey=3Bc1FrI2tmhg1RY2vtfsjD5Qrhm25soto4juqCH1r9Oa_ULucj5OqmOeQGc
• https://2117.filemail.com/api/file/get?filekey=1WnIxXZfRqQG9ynciDtjtiOl_Ezx18Dk52UsvBWx-Xttb_ZUYBAOgPLu7_g

SHA256

• 0794add65a271388acc6ab87a0dc2fe47373b40921f22dec12c02f74fbe6b154
• 20cff974367eed6e5b208d69ed49e7a9f50afbeeb60cf2f23a3a2e4ca3f1e08c
• 2927bd11ed8d3fbadf7cb3960edf1cd30d1cf515853cb9c0fcad42fabce745d8
• 2f515997ab1c7f5ab94a46041ad2af06031a842469b65bcbd2c64bd47f12a896
• 3aa4815ddc6260b5523a85c2a1746bdb919959a3f438a1487e2cb1a668302bcc
• 5dfca625893c0215fd5aabc7be6dfdc7534fd579e2e72a7e58e14dbb3750097c
• 6242051c4bccec96cd7703c7387bbf31deb6fac3d8e6e0f88de287edea153653
• 6601cc35931924371842d26b6ac6abd770b1924916e0fd10756a61dcf8afd882
• 6ad6c38552304b963d6a53e77078c6741cbebf52e758716c470be92c79805cb4
• b0e20b5136c9d7ee37bb7c9e044e46f4a29049038ec3543156c1e84c7bd6f062
• b7077463eec3d4107f1fcaa7a00847f0921f38ce018221b553e06c1861458ee2
• bba584c9c26bfe14083256f4f2ec9ea6bcf12db3cf7e1b7424f90fccced508be
• d3e13175378035d36ff5e568748e1b063f4216e077516ffa79683ddb43ed7524
• d41757c87c22597f4d14406a356b50022cb9a6dcdd9baf0b7075d4fcff3bf774
• fceab88e7ebbf3e22350818c11ec7c26afaa97eec27418cdaa193c5551ccebf5