Исследователи кибербезопасности обнаружили сложную фишинговую кампанию, нацеленную исключительно на турецкие организации. Зловредный код под названием SoupDealer демонстрирует беспрецедентную способность обходить современные системы защиты, включая песочницы и EDR/XDR решения. Атака затронула банки, интернет-провайдеров и средний бизнес, подчеркивая уязвимость критической инфраструктуры.
Описание
Кампания распространяется через письма с вложениями вроде "TEKLIFALINACAKURUNLER.jar". При запуске вредонос использует трёхэтапный загрузчик с продвинутыми механизмами устойчивости. Он проверяет локацию устройства (исключительно Турция) и язык системы (турецкий), после чего загружает TOR для связи с командным сервером и создаёт задания в планировщике для автоматического перезапуска. Финализировав внедрение, злоумышленники получают полный контроль над системой.
Технический анализ выявил исключительную скрытность угрозы. SoupDealer успешно обошёл все публичные песочницы и антивирусы, кроме Threat.Zone, а также избежал детектирования EDR/XDR в реальных инцидентах. При исследовании через Threat.Zone трафик направлялся через турецкий прокси для имитации целевой среды.
Трёхступенчатая система загрузки
Первая стадия представляет собой обфусцированный Java-загрузчик, использующий ложные операции для затруднения анализа. После деобфускации выявлен ключевой механизм: расшифровка второго этапа через AES-ключ "875758066416". Алгоритм генерирует ключ на основе SHA-512 хеша, применяя его к ресурсу "d6RuwzOkGZM12DXi".
Вторая стадия использует технику "матрёшки", загружая в память зашифрованный файл "stub". Расшифровка происходит через RC4 с ключом "V7h7j8HppdPqMZnUmYcCqniAwTpOTQcftPQakfIYqLeZNtDDCGrkrVjiCFwVkdNvySuNYsGt", что открывает доступ к финальной стадии.
Третья стадия содержит TOR и конфигурационные файлы. Модуль выполняет строгие проверки окружения: объём ОЗУ, количество ядер CPU, версию ОС (только Windows), и критически - географическое положение через ip-api[.]com. При непрохождении проверки на Турцию выполнение прекращается.
Механизмы устойчивости и функционал
Перед установкой TOR вредонос добавляет себя в автозагрузку через планировщик задач. Загрузка TOR происходит с официального сайта, но через контролируемые злоумышленниками зеркала. Связь с C2 осуществляется через onion-домены:
- Основной: 4ufbghkgmeb7nevhki3vf5rfwmmrb4bb52xcw2qwbh3qo4x773ttnhqd[.]onion
- Резервный: 42dtw6kxl5zxfpo25yknm2hmqndafoqynk3m6j2luvhi4epeex6arvyd[.]onion
Конфигурация включает порты 49152/49153, пароль "04d3978c339e5601d4eb7411946b691c746a6438" и версию "5.3.0.2.F.0". После установки соединения ботнет обрабатывает 11 сигналов:
- Отображение сообщений/изображений на экране
- Сбор скриншотов
- DDoS-атаки
- Управление файловой системой
- Выполнение команд через cmd
- Самоуничтожение
Особую опасность представляет команда "spread", копирующая вредонос по сетевым ресурсам, и функции "killdefender"/"killanti" для отключения защитных решений. Динамические команды позволяют загружать файлы (jar, ajar) и исполнять их.
Значение для индустрии безопасности
SoupDealer демонстрирует тревожную эволюцию угроз для регионально-ориентированных атак. Его способность обходить песочницы подчёркивает необходимость он-премис решений для динамического анализа, особенно для SOC-команд, защищающих критическую инфраструктуру. Использование легитимных компонентов (TOR) и многоуровневое шифрование осложняют детектирование.
Данный случай перекликается с более ранними исследованиями Джонатана Силвы (@silvasec) по схожим загрузчикам, но отличается реализацией TOR-туннелирования. Провал большинства систем защиты перед SoupDealer сигнализирует о необходимости пересмотра стратегий обнаружения сложных многостадийных угроз.
Индикаторы компрометации
Onion Domains
- 42dtw6kxl5zxfpo25yknm2hmqndafoqynk3m6j2luvhi4epeex6arvyd.onion
- 4ufbghkgmeb7nevhki3vf5rfwmmrb4bb52xcw2qwbh3qo4x773ttnhqd.onion
SHA256
- d286acf63f5846e775ba23599e2b5be88d0564d24f29e0646f6cff207249c130
