Целевая атака на поддержку Web3: группа APT-Q-27 обманывает сотрудников службы помощи с помощью поддельных скриншотов

В течение последних недель в службе технической поддержки платформы 1inch была зафиксирована необычная активность. От разных учётных записей и с ротируемых IP-адресов поступали однотипные обращения от якобы растерянных пользователей, испытывающих проблемы с транзакцией. В каждом случае в чат отправлялась короткая ссылка, представленная как скриншот для наглядности. Бдительность сотрудников и последующее расследование позволили установить, что за этими обращениями скрывалась многоэтапная вредоносная кампания, нацеленная исключительно на персонал поддержки. Сама платформа не подверглась взлому, однако детали атаки были переданы аналитикам zeroShadow для изучения и обнародования в интересах всего сообщества Web3.

Расследование позволило связать эту активность с группировкой APT-Q-27, также известной под названием GoldenEyeDog. Эта группа, предположительно базирующаяся в Китае, активна как минимум с 2022 года и исторически специализируется на атаках на игровую и криптовалютную отрасли по всему миру. Ранние кампании группировки опирались на компрометацию легитимных сайтов (watering hole) и распространение троянизированных версий программного обеспечения. Теперь же наблюдается явный сдвиг: вместо пассивных ловушек APT-Q-27 перешла к прямому взаимодействию с целями через живые каналы поддержки, что говорит о повышении операционной сложности и адаптивности угрозы.

Механика атаки начинается с простого, но эффективного обмана. Сотрудник поддержки получает в чат ссылку, которая, судя по домену и названию файла, ведёт на безобидное изображение в формате JPG. Однако при клике скачивается исполняемый файл с двойным расширением, например, "photo2025060268jpg.exe". По умолчанию в Windows расширения известных типов файлов скрыты, поэтому пользователь видит только имя "photo2025060268jpg", что не вызывает подозрений. Файл использует редко встречающийся формат .PIF, который система выполняет как программу. При запуске на экране появляется изображение с имитацией ошибки веб-страницы (например, код 503), открытое в стандартном Paint, что создаёт у жертвы впечатление о сбое ссылки. В это время в фоновом режиме уже запускается сложная цепочка установки вредоносного ПО.

Первичный загрузчик, который эксперты zeroShadow назвали Feedback.exe, отличается высокой степенью защищённости от анализа. Все строки в бинарном файле зашифрованы с помощью кастомной схемы с использованием 128-записной ключевой таблицы, а конфигурационные данные, такие как URL для связи, дополнительно закодированы дважды в Base64. При выполнении загрузчик проводит проверки на наличие отладчика, вводит случайные задержки для усложнения детектирования в песочнице и лишь затем связывается с управляющей инфраструктурой. Исследователи установили, что загрузчик обращается к удалённому S3-бакету Amazon Web Services, откуда получает манифест - список URL для скачивания следующих компонентов вредоносной цепочки.

Важной особенностью является отказоустойчивость: если управляющий сервер недоступен, загрузчик переключается на скачивание легитимного дистрибутива Microsoft Visual C++ Redistributable с официальных серверов компании. С точки зрения сетевого мониторинга такая активность выглядит абсолютно нормальной, что позволяет скрыть факт сбоя в доставке вредоносной полезной нагрузки. После успешного получения манифеста загрузчик создаёт в системе скрытую директорию, маскирующуюся под кэш Центра обновления Windows, например, "%LOCALAPPDATA%\Microsoft\WindowsUpdate\Cache\WU_20260314_142c8372@27". Примечателен хэштег "@27", жёстко прописанный в имени папки, который может служить высокоточным индикатором компрометации, поскольку в легитимных путях Windows Update он не встречается.

В созданную директорию загружаются шесть файлов. Ключевыми из них являются легитимный, подписанный цифровой подписью исполняемый файл "updat.exe" (компонент китайской стриминговой платформы YY), вредоносные библиотеки "vcruntime140.dll" и "msvcp140.dll", а также файл "yyext.log", содержащий зашифрованную полезную нагрузку. Атака использует технику DLL side-loading: при запуске "updat.exe" из рабочей директории, Windows загружает не системные, а подложенные злоумышленником версии DLL с теми же именами. Вредоносная библиотека "crashreport.dll" затем расшифровывает и исполняет в памяти содержимое "yyext.log".

Финальная стадия атаки - это бэкдор, который остаётся резидентным в системе. После распаковки из сжатого формата UPX, имплант расшифровывает свой конфигурационный блок с помощью 16-байтного XOR-ключа и извлекает список из 37 IP-адресов командных серверов (C2, Command and Control), с которыми устанавливает соединение по нестандартному TCP-порту 15628. Для обеспечения устойчивости вредоносное ПО регистрирует себя в системе как служба с названием "Windows Eventn" (с опечаткой), отключает контроль учётных записей пользователей (UAC) через реестр и реализует механизм самовосстановления, перезапуская свой поток в случае сбоя. Особенностью является поддержка широкого спектра версий Windows, от устаревшей XP до современных систем, что указывает на стремление группировки охватить максимально широкий круг потенциальных жертв.

Хотя полный анализ был ограничен из-за недоступности некоторых S3-бакетов во время расследования, собранных индикаторов компрометации достаточно для построения эффективной защиты. Эксперты рекомендуют компаниям, особенно в сфере Web3 и криптовалют, в качестве первоочередной меры обеспечить отображение полных расширений файлов на всех рабочих станциях. Это простое изменение системной политики позволило бы сразу выявить подлог в имени файла. Кроме того, критически важно обучать сотрудников служб поддержки, которые находятся на передовой кибератак, методам социального инжиниринга. На техническом уровне следует настроить мониторинг сетевой активности на предмет соединений с портом 15628 и блокировку выявленных IP-адресов C2-серверов, а также отслеживать подозрительные действия в реестре, такие как одновременное отключение нескольких ключей UAC. Данный инцидент служит напоминанием, что в современном ландшафте киберугроз самым уязвимым звеном по-прежнему может оказаться человек, и защита должна быть выстроена с учётом этого фактора.

IPv4

• 1.32.250.21
• 1.32.250.227
• 103.145.87.143
• 103.145.87.3
• 103.151.44.6
• 103.151.44.82
• 103.215.49.173
• 103.97.228.178
• 104.233.164.136
• 107.148.52.201
• 134.122.190.220
• 134.122.205.97
• 139.28.232.90
• 143.92.32.243
• 143.92.56.224
• 143.92.57.46
• 143.92.61.121
• 154.55.135.212
• 154.91.84.174
• 18.166.142.167
• 18.167.137.104
• 192.252.182.53
• 192.253.225.16
• 202.79.175.78
• 202.94.68.2
• 27.124.41.140
• 27.124.44.76
• 27.124.45.181
• 27.124.7.23
• 43.154.170.196
• 45.120.80.106
• 45.145.73.105
• 45.195.148.73
• 8.210.94.213
• 8.217.110.88
• 8.217.69.130
• 8.218.138.126

URLs

• https://awsgouu.s3.ap-southeast-1.amazonaws.com/crashreport.dll
• https://awsgouu.s3.ap-southeast-1.amazonaws.com/image.jpg
• https://awsgouu.s3.ap-southeast-1.amazonaws.com/msvcp140.dll
• https://awsgouu.s3.ap-southeast-1.amazonaws.com/updat.exe
• https://awsgouu.s3.ap-southeast-1.amazonaws.com/vcruntime140.dll
• https://awsgouu.s3.ap-southeast-1.amazonaws.com/y.txt
• https://awsgouu.s3.ap-southeast-1.amazonaws.com/yyext.log
• https://myvideomanagerentry.s3.ap-northeast-1.amazonaws.com/A.txt

SHA256

• 1a80f721ab125b88e5baf77dd2bf01be92ff5299665356621b21306a71c86672
• 2c35150e0d2da30b689d25f48e4039e35f48501afd2c486bdaf81b6df228104d
• 393ed141aca95973d948b0becd128ac19b7140fa66f80400c15cc48c2fbfe454
• 8e08575492175e042f093f325b07a5c14ca71e7c581474838db3d48f5aab1312
• c89f1c5d54c1c954b91783037898ce8b67a3057b5b43213210c34d81b10387b8
• d6b96b68057e39d61ea0084885ef6541121d83c31b26b35b2f435bb7f8b59932
• e4c71980dbb4a1e1a86816687afdaea043b639b531135fc4516fb2429fe623fc
• fc3fdbfbee3e358813370b324decf317c8481a1ad841dec0e5dabffd37af1386