Snake Keylogger атакует нефтяной сектор через легитимные Java-утилиты на фоне геополитической напряженности

Злоумышленники рассылают письма, маскирующиеся под предложения нефтепродуктов от казахстанской компании LLP KSK PETROLEUM LTD, прикрепляя ZIP-архивы с вредоносными исполняемыми файлами. Ключевым нововведением стало использование легитимной Java-утилиты jsadebugd.exe, ранее не отмечавшейся в кибератаках, что демонстрирует эволюцию тактик уклонения от обнаружения.

В архиве содержится переименованный файл "001 PETROLEUMLTD LLP KSK SCO 1 ORIGINAL (1).exe", представляющий собой легитимный jsadebugd.exe. При его запуске активируется техника DLL Sideloading: загружается вредоносная библиотека jli.dll, которая внедряет Snake Keylogger в легитимный процесс InstallUtil.exe. Для маскировки код добавляется перед заголовком MZ в файле concrt141.dll, что затрудняет работу антивирусных систем. После установки вредонос копирует себя в папку %USERPROFILE%\SystemRootDoc и создает автозагрузочный ключ в реестре Windows, обеспечивая постоянное присутствие на устройстве. Snake Keylogger функционирует по модели Malware-as-a-Service (MaaS), ранее используемой группами UAC-0041 и TA558 против Украины, что подчеркивает кросс-региональную опасность инструмента.

Геополитический контекст играет решающую роль: атака эксплуатирует опасения по поводу закрытия Ормузского пролива, способного вызвать скачок цен на нефть и сбои в логистике. Жертвами становятся организации нефтяного сектора, чьи сотрудники могут реагировать на фишинговые письма из-за профессионального интереса. Snake Keylogger собирает обширные данные: IP-адрес и страну расположения через сервисы вроде reallyfreegeoip.org, учетные записи из более чем 40 браузеров, включая Google Chrome, Mozilla Firefox, Microsoft Edge и специализированные решения вроде Torch или Comodo Dragon. Он также извлекает пароли из почтовых клиентов (Outlook, Thunderbird), FTP-менеджеров (FileZilla) и даже похищает ключи активации Windows. Вся информация отправляется через SMTP с поддельного адреса serverhar244@gpsamsterdamqroup[.]com на harrysnakelogger@dklak[.]cam, что подтверждается захваченными сетевыми пакетами.

Анализ 30 образцов показал уникальность кампании: все они используют jsadebugd.exe для DLL Sideloading - метод, ранее не документированный в киберинцидентах. Это указывает на повышение квалификации атакующих, адаптирующих легитимные инструменты для обхода систем безопасности. Уязвимость лежит в доверенных процессах: организации редко блокируют исполнение стандартных Java-утилит, что открывает путь для атак. Рекомендуется усилить проверку вложений в корпоративной почте, особенно с тематикой энергетики, и внедрить мониторинг аномальной активности вокруг InstallUtil.exe и jsadebugd.exe. Текущая геополитическая турбулентность будет провоцировать аналогичные атаки, где социальная инженерия сочетается с техническими инновациями, требуя от компаний нефтегазовой отрасли пересмотра стратегий киберзащиты в контексте целевых угроз. Эксперты подчеркивают: злоумышленники всё чаще связывают киберпреступления с глобальными кризисами, превращая информационную безопасность в элемент стратегической устойчивости государств и корпораций.

Domains

• fiber13.dnsiaas.com

Emails

• harrysnakelogger@dklak.cam
• serverhar244@gpsamsterdamqroup.com

SHA256

• 18e3d1542d9d375f2e1d4631e03e9874fca9a1655ee6d01121d0c94e138be174
• 2b7602cc1521101d116995e3e2ddfe0943349806378a0d40add81ba64e359b6c
• 76618263ac3d71779c18526c5ecc75a025ad0c78212b6a2bc089b22a1b8ca567
• 9dae36cf2664e4bd348b1c7bcd9e886243fdd86e04d854e9a49e80ce358aa868
• f099cb320a26b6284e9ca24b352b19d2109bb3df0beeded3c34377c9b934ed3b