Таргетированная атака на финансы: Вредоносное ПО, связанное с APT-Q-27, использует подписанные файлы и скрытые методы

Инцидент начался, когда сотрудник отдела поддержки клиентов получил через платформу Zendesk фишинговую ссылку. Злоумышленники замаскировали вредоносный файл под изображение, используя хитрость с фрагментом URL. В результате пользователь загрузил и запустил файл с расширением .pif (Program Information File), который в современных версиях Windows исполняется как обычная программа. Ключевой особенностью этой начальной вредоносной программы-дроппера (dropper) стало наличие действовавшей на момент распространения цифровой подписи, выданной на имя легальной компании Portier Global Pty Ltd. Это существенно снижало подозрительность файла и могло обойти проверки репутации.

После запуска дроппер, написанный на .NET и сильно обфусцированный, загрузил со стороннего облачного хранилища набор компонентов. Файлы были размещены в скрытой директории, имитирующей кэш обновлений Windows. Для временного поддержания присутствия в системе был создан ключ автозапуска в реестре. Следующим этапом стала техника под названием DLL Side-Loading. Вредоносная библиотека crashreport.dll, также имевшая цифровую подпись, была загружена в контексте легитимного подписанного исполняемого файла updat.exe.

Основная нагрузка (payload) хранилась в зашифрованном виде внутри файла updat.log. Загрузчик расшифровал её и выполнил непосредственно в оперативной памяти, что значительно усложняет файловый анализ и детектирование. Итоговый бэкдор прошел серию проверок на анализ, включая проверку ресурсов системы для избегания песочниц. При наличии административных прав он установил постоянное присутствие (persistence), создав службу Windows с названием, похожим на системное. Кроме того, бэкдор пытался изменить политики контроля учётных записей (UAC), чтобы снизить уровень безопасности.

Архитектура бэкдора является модульной и управляется командами с командного сервера (C&C). Это позволяет злоумышленникам гибко управлять функционалом, включая операции с файлами, перехват ввода с клавиатуры или создание скриншотов. Аналитики CyStack обнаружили заметные пересечения этой кампании с ранее задокументированной активностью APT-Q-27. Сходства наблюдаются в шаблонах именования инфраструктуры, использовании специфического порта, методах хранения полезной нагрузки и общей модульной архитектуре бэкдора.

Хотя прямая атрибуция конкретной группе на основе этих индикаторов невозможна, совокупность техник, процедур и ресурсов (TTPs) указывает на использование общего инструментария или инфраструктуры. В рассмотренном случае распространение вредоносного ПО на другие системы в сети не было зафиксировано. Эксперты подчеркивают, что подобные атаки демонстрируют растущую тенденцию к использованию подписанного кода и "бесфайловых" методов выполнения в памяти для обхода традиционных защит.

Для противодействия подобным угрозам компаниям, особенно в финансовом секторе, рекомендуется делать акцент на проактивном поиске угроз (threat hunting). Необходимо искать аномальное поведение легитимных процессов, подозрительную активность в памяти и нестандартные службы. Критически важна готовность к реагированию на инциденты для быстрой изоляции систем. Защита конечных точек должна опираться на поведенческий анализ, а не только на сигнатуры. Также необходим пересмотр уязвимых поверхностей атаки, включая каналы работы с клиентами, которые всё чаще становятся мишенью для целевой социальной инженерии.

IPv4

• 1.32.250.21
• 1.32.250.227
• 103.145.87.143
• 103.145.87.3
• 103.151.44.6
• 103.151.44.82
• 103.215.49.173
• 103.97.228.178
• 104.233.164.136
• 107.148.52.201
• 134.122.190.220
• 134.122.205.97
• 139.28.232.90
• 143.92.32.243
• 143.92.56.224
• 143.92.57.46
• 143.92.61.121
• 154.55.135.212
• 154.91.84.174
• 18.166.142.167
• 18.167.137.104
• 185.135.79.200
• 192.252.182.53
• 192.253.225.162
• 202.79.175.78
• 202.94.68.2
• 27.124.41.140
• 27.124.44.76
• 27.124.45.181
• 27.124.7.23
• 43.154.170.196
• 45.120.80.106
• 45.145.73.105
• 45.195.148.73
• 8.210.94.213
• 8.217.110.88
• 8.217.69.130
• 8.218.138.126

Domains

• wk.goldeyeuu.io

URLs

• https://yy-service.s3.ap-northeast-2.amazonaws.com/crashreport.dll
• https://yy-service.s3.ap-northeast-2.amazonaws.com/yy.txt
• https://yy-service.s3.ap-northeast-2.amazonaws.com/yyex.exe
• https://yy-service.s3.ap-northeast-2.amazonaws.com/yyex.log
• https://yyupdats.s3.ap-southeast-1.amazonaws.com/crashreport.dll
• https://yyupdats.s3.ap-southeast-1.amazonaws.com/updat.exe
• https://yyupdats.s3.ap-southeast-1.amazonaws.com/updat.log
• https://yyupdats.s3.ap-southeast-1.amazonaws.com/updat.txt

MD5

• 30917b5abb991df495827a9d7c7ebcbc
• 3b4c845044154dd151796ecc9febf395
• 543023ace4f10b736c4c4109e005f0ef
• 64b07b1c385cf94a3559e323009f7641
• 9fe20b85e9f9f3d9ee075ee5764a7078
• a9b75dcf502593a6f0ef47a3cebb4822
• b591ee37860f35a788b10531a00bbbd2
• d1d9d197af176cdb6570e6d348a789d7