Целевые фишинговые атаки Erudite Mogwai: скрытность через легитимные сервисы и новые инструменты

Особенности кампании

Кампания Erudite Mogwai демонстрирует высокий уровень скрытности и адаптивности. Злоумышленники размещали вредоносные архивы на легитимных сервисах одноразовых ссылок, принадлежащих целевым организациям. Это позволяло обходить почтовые системы защиты, которые не всегда проверяют содержимое таких ресурсов. Фишинговые письма отправлялись с компрометированных аккаунтов подрядчиков жертв, что повышало доверие к сообщениям.

Цепочка атаки всегда начиналась с LNK-файлов, замаскированных под документы PDF или DOC. При их запуске использовалась техника Indirect Command Execution (косвенное выполнение команд), когда легитимный процесс conhost.exe применялся для запуска malicious (вредоносных) скриптов. Это создавало многоуровневое дерево процессов, затрудняющее анализ. Для загрузки промежуточных и финальных payload (полезных нагрузок) злоумышленники использовали скомпрометированные ресурсы негосударственных образовательных организаций, что позволяло оставаться незамеченными.

Эволюция инструментов

В 2024 году группировка применяла имплант Pinocchio - модифицированную версию модуля Puppet из C2-фреймворка OrcaC2 с открытым исходным кодом. Это первый известный случай использования OrcaC2 в реальных атаках. Злоумышленники изменили название фреймворка на Hermes, а имплант получил имя Pinocchio, что отражает их склонность к литературным отсылкам.

К 2025 году методы стали еще сложнее. Загрузчик TADS, написанный на .NET, выполнял многоступенчатую проверку на наличие песочниц. Он анализировал список процессов, логические диски и имена пользователей, присваивая системе «баллы риска». Если оценка превышала порог, выполнение прекращалось. Для закрепления на системе применялся плагин Scythe, который работал исключительно в памяти и использовал переопределение методов Equals и ToString для запуска задач планировщика. Финальная нагрузка активировалась через несколько часов после заражения, что усложняло детектирование в песочницах.

Атрибуция и выводы

Эксперты связывают кампанию с восточноазиатской группировкой Erudite Mogwai на основе ряда индикаторов. В метаданных документов-приманок указана локаль Китая (zh-cn) и программное обеспечение WPS Office. Использование утилиты lcx.exe (связанной с китайскими хакерами) и схожесть методов запуска с вебшеллом GodZilla укрепляют эту гипотезу. Кроме того, C2-серверы, используемые в атаках, ранее связывались с активностью Erudite Mogwai, включая развертывание ShadowPad.

Группировка демонстрирует осторожность и постоянное совершенствование тактик. Например, в LNK-файлах 2024 года злоумышленники постепенно увеличивали количество пробелов в командах, чтобы скрыть их от отображения в свойствах файлов. Они также собирали данные о системе жертв, включая список процессов и антивирусные решения, что позволяло адаптировать атаки под конкретные среды.

Кампания подчеркивает важность защиты от целевого фишинга, особенно с использованием легитимных сервисов. Организациям рекомендуется блокировать выполнение LNK-файлов из архивов, мониторить аномальную активность на внутренних ресурсах и обучать сотрудников распознаванию сложных фишинговых атак. Скрытность и долгосрочное планирование Erudite Mogwai делают их одной из наиболее устойчивых угроз для государственного сектора.

IPv4 Port Combinations

• 192.124.176.43:443

Domain Port Combinations

• ftp.media-storage.myftp.info:443

MD5

• 0a56a3374e2ef9707fca0d8a56c66738
• 24b61abc932c236d970afd6f2a4cab43
• 35c0665c55b92388e38926f661b4a9ba
• 366259f9a67c6308969c11b2de1fed48
• 3e72d612edfe06eca5d28701696ec69d
• 429ff9f81e95e88a95a73815fe92e9e9
• 5ed9a9abacbe33bd606bd618a60c2dbd
• 7591469f86ec5706bcab4230f3c31f03
• 75f1f0355a10a3ba7609811fa0cacab0
• 8b2e64a6ff896f290de96e3de6f41b5e
• a4b06ccceb816b638eb7da5c167d80d9
• b1d19836b1d2f99fd8d9a0905a82056e
• bb8f92a1ec79711710e03cc839befe3a
• d389a29a89b67febbfc25a5e658d1629
• dff2166e5f805d145c7d9d54e2272d10
• e98c6bc47d393721fa65277df317b80a
• fb0be2d26b7aa921153ad563164b7901

SHA1

• 26a00c5275dc754f04641353de27f4d659c427b0
• 2c3a074e5b0be9f7f7d1abe3841c9ab8b0dc042c
• 2d343ce5211dd8472eac02d7b4e4260acf925eeb
• 2d7816175ccdc3cd36f1a847943cb7fd3d759d60
• 37a43ad31e886d04dea2c115db85ca05fc2ed8ae
• 45dc3ecbadd2aa52a2948aee245958a31307157b
• 53637e5d65ee38ae2e70f89bde7721a2a601e242
• 7cd835a5bae86edc058a4248aee7bde586a94504
• 88ccfa258707723217717de02851dc83e0d798ce
• 99f66fa1d11b551a79a5a10d897638fbba1499f7
• 9a7659731d2c38726c9fc67024d3896687cb11be
• a1f1856bc81d99abf051ac9684b9dc39ec7ace39
• bbca3d0af51be3eb338033ebfe4f8300055d111f
• c474cd3e9bcadad9c94d9ace0f04b8461f301039
• d7d93f418466dedca35db8a372dde41ed7b88b87
• eb57d7374b1723852e9fbe78255e8323687eaa35
• f9d174e4004fc577a0cb934c8046c34c8ab37c6b

SHA256

• 0ed459cf2682b12d95613ca8f1f1b9d71bcc529c681f8a2a0ec347bba7d8f4b6
• 231cf0075fd311223539743906a974b37354c45e3a792b30f410bd307f32712e
• 23f2f48dae5960d8b91021e95ed5772600c4eacee42090c183e8cc04236bf4cf
• 289f96b5a18ed83e186aff2fdd1fe9837d0ed8ca17c8181af284e7d1a37c561e
• 360c0146e0b326092201628f219e5d70f22ba74f6c255dbabda914a3c308c75c
• 4455ddf7f185a291eb319619970fd09b3be3493570aaffeaf72295452dcf39e8
• 46c0fd35e4699265db0223cee00b3da48ec157e2d7a51590c87b077918f76d5b
• 601f00162583c82d933ad27ec6b3f900d2efde81a1f4cf3724e5cfc4875305cb
• 88aa1bd65a6ff5d92ac7041e9685c20e08286709971881660df9c0f4a04c06db
• 952743a6c8f1ebbe78827db8628ffe7ba8cd3b864b685e181f5527095b374ff2
• aa730d937573fe7126cf69d272113ae0d1f056fefa69cbbcc538db7566463d48
• cc4d01ef402abfe89c26b21267d522e611029fe02f2182ac9b870ed457c6ac64
• cd814716997ce40d83f3fda225829b98ed9f0c4e2093e859c7dcdeb513e925d8
• d3aaf9a04437859b513efabfdd2d57ef6eb1e66c46645a09c1b8d80328997e28
• d63b6666593a81215d26de0bba3570b92f94605a138d1e47ccc5f6f1ea49caff
• e767d3601ae7e838cfc5889427e4ed85a95ca9c3972f6ef6d312799f8cb8e06c
• f5b9cb2e068243d7e5818b67085105d2c64810891d1a00258c185435f8decd6b