Тайваньские НПО и вузы атакованы комплексными вредоносными программами в ходе целевой фишинг-кампании

Кампания началась в октябре 2025 года с целевых фишинговых писем, отправленных на адреса тайваньской НПО. Важной деталью является то, что метаданные писем указывают на использование авторизованной почтовой инфраструктуры, что может говорить либо о её компрометации, либо об успешной подделке легитимных отправителей. Письма содержали сокращённую ссылку, ведущую к зашифрованному RAR-архиву, пароль от которого был указан прямо в теле письма. Это классический приём, позволяющий обойти простые почтовые фильтры, не проверяющие содержимое защищённых архивов. Внутри архивов злоумышленники размещали приманку - официальный документ правительства Тайваня, напоминающий университетским преподавателям с административными должностями о необходимости получения разрешения перед поездками в Китай. Такая тематическая приманка повышает доверие жертвы и отвлекает её внимание от фонового выполнения вредоносного кода.

Исследователи Talos выделили две независимые цепочки заражения, используемые для развёртывания LucidRook. Первая основана на ярлыке LNK, который при открытии запускает серию скриптов, злоупотребляя легитимными системными утилитами, известными как LOLBAS (бинарники и скрипты, используемые для жизни за счёт земли). Это позволяет избежать детектирования, так как действия выглядят как стандартная активность операционной системы. Ключевым элементом этой цепочки является дроппер LucidPawn, который также выполняет функцию географического таргетинга. В своём отчёте эксперты Cisco Talos детально описали, как LucidPawn проверяет язык интерфейса Windows и продолжает работу только если система использует традиционный китайский язык, связанный с Тайванем. Это эффективный анти-аналитический приём, который заставляет вредоносную программу бездействовать в большинстве песочниц и исследовательских сред, где обычно установлен английский язык.

Вторая цепочка заражения использует исполняемый EXE-файл, написанный на .NET и маскирующийся под продукт безопасности Trend Micro. Этот дроппер, как и в первом случае, распаковывает и сохраняет на диск легитимный компонент Windows DISM и сам стейгер LucidRook, после чего устанавливает автозагрузку через ярлык в папке Startup. Обе цепочки демонстрируют зрелую тактику, направленную на максимальную скрытность и устойчивость в системе. Ядро атаки, стейгер LucidRook, представляет собой сложную динамическую библиотеку DLL. Его уникальность заключается в том, что он содержит встроенный интерпретатор Lua версии 5.4.8, что превращает его в платформу для выполнения скриптов. Основная полезная нагрузка - скомпилированный Lua-байткод - загружается с удалённого сервера уже после инфицирования. Такой модульный подход даёт злоумышленникам огромную гибкость: они могут быстро менять функционал вредоносной программы, просто обновляя скрипт на сервере, не трогая сам дроппер.

Для управления и сбора данных LucidRook использует скомпрометированные FTP-серверы, принадлежащие типографиям на Тайване. Расследование показало, что эти компании по неосторожности публиковали учётные данные FTP на своих сайтах в рамках услуг по загрузке файлов для клиентов. Злоумышленники воспользовались этой публичной инфраструктурой как дешёвым и анонимным каналом для команд и управления. Все передаваемые данные, включая собранную информацию о системе, шифруются с использованием алгоритмов RSA и AES, что делает их недоступными для перехвата и анализа защитниками. Кроме того, в ходе расследования был обнаружен сопутствующий инструмент разведки под названием LucidKnight. Этот модуль, также использующий Rust-компоненты и схожие методы обфускации, специализируется на сборе системной информации, но отправляет её не через FTP, а по электронной почте, используя встроенную библиотеку для работы с SMTP и учётную запись Gmail. Его присутствие намекает на наличие у группы UAT-10362 иерархического набора инструментов, где LucidKnight может использоваться для первоначальной разведки целей перед развёртыванием более мощного стейгера.

Многоязычная модульная архитектура, многослойные проверки на анализ, скрытная доставка полезной нагрузки и стратегическое использование публичной инфраструктуры - все эти признаки указывают на высококвалифицированную группу угроз с отработанной методологией. Хотя на данный момент исследователям не удалось получить расшифрованную конечную Lua-нагрузку, публикация индикаторов компрометации позволит сообществу специалистов по информационной безопасности усилить мониторинг и, возможно, выявить связь этой кампании с другими известными активностями. Для организаций, особенно работающих в регионе, ключевыми мерами защиты остаются обучение сотрудников распознаванию целевого фишинга, строгий контроль за запуском исполняемых файлов из ненадёжных источников и мониторинг сетевой активности, направленной на нестандартные FTP-серверы.

IPv4

• 1.34.253.131
• 59.124.71.242

Domains

• D.2fcc7078.digimg.store

Emails

• crimsonanabel@powerscrews.com
• fexopuboriw972@gmail.com

SHA256

• 0305e89110744077d8db8618827351a03bce5b11ef5815a72c64eea009304a34
• 11ae897d79548b6b44da75f7ab335a0585f47886ce22b371f6d340968dbed9ae
• 166791aac8b056af8029ab6bdeec5a2626ca3f3961fdf0337d24451cfccfc05d
• 6aba7b5a9b4f7ad4203f26f3fb539911369aeef502d43af23aa3646d91280ad9
• aa7a3e8b59b5495f6eebc19f0654b93bb01fd2fa2932458179a8ae85fb4b8ec1
• adf676107a6c2354d1a484c2a08c36c33d276e355a65f77770ae1ae7b7c36143
• b480092d8e5f7ca6aebdeaae676ea09281d07fc8ccf2318da2fa1c01471b818d
• bdc5417ffba758b6d0a359b252ba047b59aacf1d217a8b664554256b5adb071d
• c2d983d3812b5b6d592b149d627b118db2debd33069efe4de4e57306ba42b5dc
• d49761cdbea170dd17255a958214db392dc7621198f95d5eb5749859c603100a
• d8bc6047fb3fd4f47b15b4058fa482690b5b72a5e3b3d324c21d7da4435c9964
• edb25fed9df8e9a517188f609b9d1a030682c701c01c0d1b5ce79cba9f7ac809
• f279e462253f130878ffac820f5a0f9ac92dd14ad2f1e4bd21062bab7b99b839
• fd11f419e4ac992e89cca48369e7d774b7b2e0d28d0b6a34f7ee0bc1d943c056