S2 Group Intelligence Team обнаружила новую кампанию с использованием Snake Keylogger - вредоносное ПО, написанноое на .NET, которое нацелено на корпоративных, государственных и частных жертв. Атака использует геополитическую нестабильность, связанную с конфликтом Ирана и Израиля, а также рисками для глобальных нефтяных поставок, чтобы внедрить шпионские инструменты через изощренные фишинговые схемы.
Описание
Злоумышленники рассылают письма, маскирующиеся под предложения нефтепродуктов от казахстанской компании LLP KSK PETROLEUM LTD, прикрепляя ZIP-архивы с вредоносными исполняемыми файлами. Ключевым нововведением стало использование легитимной Java-утилиты jsadebugd.exe, ранее не отмечавшейся в кибератаках, что демонстрирует эволюцию тактик уклонения от обнаружения.
В архиве содержится переименованный файл "001 PETROLEUMLTD LLP KSK SCO 1 ORIGINAL (1).exe", представляющий собой легитимный jsadebugd.exe. При его запуске активируется техника DLL Sideloading: загружается вредоносная библиотека jli.dll, которая внедряет Snake Keylogger в легитимный процесс InstallUtil.exe. Для маскировки код добавляется перед заголовком MZ в файле concrt141.dll, что затрудняет работу антивирусных систем. После установки вредонос копирует себя в папку %USERPROFILE%\SystemRootDoc и создает автозагрузочный ключ в реестре Windows, обеспечивая постоянное присутствие на устройстве. Snake Keylogger функционирует по модели Malware-as-a-Service (MaaS), ранее используемой группами UAC-0041 и TA558 против Украины, что подчеркивает кросс-региональную опасность инструмента.
Геополитический контекст играет решающую роль: атака эксплуатирует опасения по поводу закрытия Ормузского пролива, способного вызвать скачок цен на нефть и сбои в логистике. Жертвами становятся организации нефтяного сектора, чьи сотрудники могут реагировать на фишинговые письма из-за профессионального интереса. Snake Keylogger собирает обширные данные: IP-адрес и страну расположения через сервисы вроде reallyfreegeoip.org, учетные записи из более чем 40 браузеров, включая Google Chrome, Mozilla Firefox, Microsoft Edge и специализированные решения вроде Torch или Comodo Dragon. Он также извлекает пароли из почтовых клиентов (Outlook, Thunderbird), FTP-менеджеров (FileZilla) и даже похищает ключи активации Windows. Вся информация отправляется через SMTP с поддельного адреса serverhar244@gpsamsterdamqroup[.]com на harrysnakelogger@dklak[.]cam, что подтверждается захваченными сетевыми пакетами.
Анализ 30 образцов показал уникальность кампании: все они используют jsadebugd.exe для DLL Sideloading - метод, ранее не документированный в киберинцидентах. Это указывает на повышение квалификации атакующих, адаптирующих легитимные инструменты для обхода систем безопасности. Уязвимость лежит в доверенных процессах: организации редко блокируют исполнение стандартных Java-утилит, что открывает путь для атак. Рекомендуется усилить проверку вложений в корпоративной почте, особенно с тематикой энергетики, и внедрить мониторинг аномальной активности вокруг InstallUtil.exe и jsadebugd.exe. Текущая геополитическая турбулентность будет провоцировать аналогичные атаки, где социальная инженерия сочетается с техническими инновациями, требуя от компаний нефтегазовой отрасли пересмотра стратегий киберзащиты в контексте целевых угроз. Эксперты подчеркивают: злоумышленники всё чаще связывают киберпреступления с глобальными кризисами, превращая информационную безопасность в элемент стратегической устойчивости государств и корпораций.
Индикаторы компрометации
Domains
- fiber13.dnsiaas.com
Emails
- harrysnakelogger@dklak.cam
- serverhar244@gpsamsterdamqroup.com
SHA256
- 18e3d1542d9d375f2e1d4631e03e9874fca9a1655ee6d01121d0c94e138be174
- 2b7602cc1521101d116995e3e2ddfe0943349806378a0d40add81ba64e359b6c
- 76618263ac3d71779c18526c5ecc75a025ad0c78212b6a2bc089b22a1b8ca567
- 9dae36cf2664e4bd348b1c7bcd9e886243fdd86e04d854e9a49e80ce358aa868
- f099cb320a26b6284e9ca24b352b19d2109bb3df0beeded3c34377c9b934ed3b