Специалисты зафиксировали новую многоступенчатую атаку с использованием фишинга и вредоносной рекламы, нацеленную на корпоративные сети

Как следует из отчёта о результатах операции, атака началась с того, что пользователя обманным путём заставили скопировать и выполнить в диалоговом окне «Выполнить» (Windows Run) специально подготовленную, запутанную команду. Это единственное действие пользователя запустило цепочку событий: вложенное выполнение cmd.exe, проверку исходящего сетевого соединения с помощью системной утилиты "finger.exe" (порт TCP/79) и загрузку файла, замаскированного под PDF-документ, с инфраструктуры злоумышленников. Загруженный файл на самом деле вёл себя как сжатый архив и был распакован локально с помощью встроенных средств Windows.

На последующих этапах злоумышленник выполнил несколько этапов загрузки и выполнения кода через PowerShell (с использованием команды IEX) с контролируемых доменов, динамически скомпилировал .NET-компоненты с помощью "csc.exe" из временных каталогов пользователя и развернул Python-компоненты для закрепления в системе (persistence) в каталоге C:\ProgramData. Последующая активность включала разведку в Active Directory (определение доверительных отношений доменов, поиск серверов, перечисление пользователей) и попытку хищения учётных данных из браузера с помощью PowerShell-скрипта, загруженного с IP-адреса 143.198.160[.]37.

Инфраструктура и наблюдаемое поведение соответствуют современному сценарию получения первоначального доступа: быстрое развертывание, активное использование легитимных системных двоичных файлов (LOLBins) и долгоживущий трафик командования и управления (C2, Command and Control), который маскируется под обычный браузерный шум. Хотя в течение периода наблюдения активации шифровальщика не произошло, последовательность действий оператора - интерактивная разведка и кража учётных данных - является классическим прекурсором для последующего перемещения по сети и развертывания программ-вымогателей.

Данный инцидент примечателен несколькими аспектами. Во-первых, это, по имеющимся данным, первое публичное сообщение, связывающее конкретные цепочки вредоносной рекламы в стиле ClickFix с группировкой Velvet Tempest. Во-вторых, оператор перешёл к активным интерактивным действиям (hands-on-keyboard), а не ограничился автоматизированной доставкой вредоносного ПО. В-третьих, конфиденциальные разведданные связывают IP-адрес 143.198.160[.]37 с подготовкой инструментов для вторжений, связанных с программой-вымогателем Termite. Наконец, многие индикаторы компрометации (IoC), такие как хэши файлов и домены, практически отсутствовали в публичных базах данных, что усложняет их заблаговременное обнаружение.

Ключевые технические наблюдения включают использование социальной инженерии ClickFix («подтвердите, что вы человек») для выполнения кода через Windows Run, что позволяет обойти защиту от макросов или вложений. Вторая стадия загрузки полагалась на PowerShell (IEX) и обращалась к доменам .life и grtrip[.]org. Компиляция .NET-кода на заражённом хосте с помощью "csc.exe" из временных каталогов пользователя является ярким сигналом использования фреймворков для поэтапной загрузки. В ходе операции также наблюдались загрузчик DonutLoader и троян CastleRAT, а на поздней стадии предпринимались попытки извлечения паролей из браузера Chrome.

С точки зрения защиты, данный случай наглядно показывает уязвимость традиционных мер контроля, сфокусированных на блокировке «вредоносных EXE-файлов», поскольку ранние стадии атаки целиком полагаются на доверенные системные утилиты. Для специалистов по безопасности это означает необходимость смещения фокуса мониторинга. Следует обращать внимание на нестандартное выполнение команд, инициированное пользователем через Windows Run, особенно с запутанными цепочками. Исходящие подключения через "finger.exe" (TCP/79) в корпоративной среде должны рассматриваться как подозрительные. Комбинации типа "curl.exe" и "tar.exe", работающие с файлами в каталогах AppData, особенно когда файл с расширением .pdf ведёт себя как архив, также являются важным индикатором.

Особое внимание стоит уделить детектированию шаблонов загрузки и выполнения через PowerShell, включая использование IEX с методами DownloadData, скрытых окон ("-WindowStyle Hidden") и закодированных команд ("-EncodedCommand"). Мониторинг компиляции кода на хосте, когда "csc.exe" запускается из временных каталогов пользователя, может помочь выявить поставку .NET-полезных нагрузок. Нельзя игнорировать и «скучную» активность по разведке сети, такую как выполнение команд "nltest /domain_trusts" или "net user /domain", - это классические сигналы картирования зоны поражения злоумышленником.

Сетевые аналитики должны обращать внимание на долгоживущие HTTP-сессии к простым путям вроде "/login" и "/logoff", особенно если они используют устаревшие заголовки User-Agent браузера. Внедрение стратегий активной обороны, таких как размещение ловушек (декой-учётных записей, файлов-приманок), может спровоцировать оператора на интерактивные действия, которые легче отличить от фонового шума. В качестве приоритетных мер укрепления защиты, непосредственно вытекающих из анализа данной атаки, можно рекомендовать фильтрацию DNS для новых и низкорепутационных доменов, включение журналирования блоков скриптов PowerShell с видимостью для AMSI (интерфейса антивирусного сканирования), политики контроля приложений, ограничивающие использование LOLBins, где это возможно, и защиту корпоративных браузеров для минимизации локального хранения восстановимых паролей.

IPv4

• 134.209.125.225
• 137.154.199.78
• 143.198.160.37
• 144.124.250.30
• 147.182.134.26
• 167.99.229.90
• 170.130.165.194
• 170.130.55.86
• 206.189.225.210
• 24.199.81.95

Domains

• agalink.com
• akamedmain.com
• cafejug.com
• catfor.com
• gamestudio.life
• getflix.live
• grtrip.org
• h3securecloud.com
• ip-api.com
• levelme.net
• loralaw.net
• nachalonachalo.com
• near-to.com
• outlook24.net
• teamscloud.net
• teamsevoice.com
• teamsial.com
• teams-telcom.com
• vrstudio.life

URLs

• http://134.209.125.225/login
• http://143.198.160.37/data/chrome_pass.txt
• http://24.199.81.95/logoff
• http://gamestudio.life/files/gamestudio.life.back.bmp
• http://gamestudio.life/files/update-game-ms-config
• http://grtrip.org/206a4edf-19ed-5bd9-b6ed-8df0fd5e1e33/local2.txt
• http://h3securecloud.com/uvey.php?holt=1
• http://h3securecloud.com/uvey.php?holt=2
• http://ip-api.com/line/?fields=16385
• http://vrstudio.life/files/soft-back-vrstudio-life
• http://vrstudio.life/files/text-back-vrstudio-life

SHA256

• 06ea3acb5dfc3abca3cd91a2825dbf78faff305e1f4b40ad1132881b2fe6954a
• 078d79ca7b76984cd9e8c12040861fd5d37a143d93ae7148d3ee0b7af399c644
• 118273142fcf38f49e4d8d73e786fb026673eb6c6c8890890d28fa2908444a04
• 12e400e5d42ec27a53cae6292a6159d82408a30231ddffd119be74899e690a27
• 1569a5ebcea85c0b786ac52c7595bd2605f504bcfa0245b3064fac35714ce8d3
• 1cf118f40a6c32b1fffe8060807dc2959cfc31330dca565479257323261b0b86
• 1ec8d60d9116323fe2c86fb9988d14d104dd7b9d256082071c5d183f85e447c3
• 21ee713585ed802b675b7144f7ebd875573e09809c2dff21e65da3d127fdca71
• 2b6728f9d1ea2bba5df06318a89dfff1f9fc76ea550ebd9d65d89c6eaef8ca33
• 3f822a31b2d681222f081f07a24001751299e3643fd15576281d76f4413fa70e
• 4b66dc22552133eb8c0fe3ee1a9b87c6fc1586cc0a76cbf397db18592cf6bc17
• 4e65b27e950fabac87aff94996bb456ecc38b27f53c4b60bbd8f749b12171c4b
• 53b1a89ccf702d03b5b8348d80f2c1d92eb9251b29a1dbc0f096bea24ddc0274
• 5d102919d21c7122d31f6ec238fdeb1c94412cc7f649ebea05bc1decfaab0df1
• 7123ae962f0a8a874175902d226001707bda21cc8b01e09cddbdfeb5ee9b381d
• 7eb21d16c6009d90843f238c5a43876ae6c3e4417aa3fce45e0e42d50debdd4c
• 7f6c1c40dda7077eba0c5a732e4c1805666765ba35fd0ebea4e6319f4309f75a
• 83f13916759f5e326f7e7940e6a824baddcb6ba83681e62fae7f976c13e63fa5
• 8b47c111a06e3d73aea2cc513852e9b7add0fd2f0d09bb0db0f2260ce9d28d90
• 8c378f6200eec750ed66bde1e54c29b7bd172e503a5874ca2eead4705dd7b515
• 97ea87aa739d12bad3f999061e41f08d9c9226584f3f9ca75d9729d67d0e518e
• 9d59d4c128570eb80c0e8d13e2185030f93d965278b203c91dd196b2e1d3cd22
• 9d9105be04ecdd51f9c96728bb57ffc6964fba041647d1efb0f710b1c7ec6872
• a77cd93085149c63cffe671edc4066b46162b3508e45b3fdc543c7406d2ffb51
• bc0067d8cc2e3210f472f8985b3d78d9111c015be25be1161eae79f9d953e054
• bd6154cac7bcbf48194dec84b11d9394c7cbb6c5be14f1e2f0cc43b1151e3590
• c6b4b5eaecd7272ec68f9acfbdd09e0d6aa6e3273758a2ac0862d9c544c9525e
• c8e25aed13151c22ca79724f949d44c16b1ee3400de8e36fff0f094011ace10a
• ce392b153625de015037e71ce76f35cbf6088a280123fed59a727de4a86fb9dd
• dbe7d5392c75c97fe74624a4139a865269297496df25b2bce3ab85a622a70607
• e43411b02381ec4b63ca4f5a7332e25616134fe25fd6671f7d811995cadd43e8
• ea4819d82b7bf9bf260a977631658e3b06a809e4235120d5d9c868e7ab4f4f25
• ecd337fb407923954e2a4be584093b4a462ec44dd5049abb7697f64c27088c2d
• f34cb4315d4f0caf3842372e7f6501219b04f3d912c3d25031dcc00b75c5930d