Уязвимость в облачных туннелях Cloudflare раскрывает многомесячную кампанию против бизнеса Германии и Великобритании

Кампания характеризуется высокой степенью настойчивости и использованием социальной инженерии. В качестве приманки для немецкоязычных жертв применяется шаблон счёта от Палаты промышленности и торговли Германии (IHK), что указывает на целенаправленный подбор целей в бизнес-среде. На момент 5 апреля 2026 года подтверждена активность семи туннелей Cloudflare, связанных с одним и тем же исполнителем. Все образцы вредоносного кода из этой кампании не обнаруживаются антивирусными движками на платформе VirusTotal, что подчёркивает их новизну и потенциальную опасность.

Цепочка атаки начинается с того, что жертва получает ссылку на один из туннелей. При переходе по ней запускается скрипт "oa.wsh", который, используя протокол WebDAV, загружает и выполняет JScript-файл "ccv.js". Этот скрипт, в свою очередь, копирует и запускает пакетный файл-загрузчик "neli.bat". Его первая задача - открыть PDF-документ со счётом, отвлекая внимание пользователя. Затем загрузчик выполняет несколько операций: пытается установить автозагрузку через файл "pol.bat", загружает архив "vwo.zip" с полезной нагрузкой и устанавливает в систему внедряемую версию Python 3.10.0.

Ключевым компонентом является скрипт "so.py", так называемый KISS Loader. Его функция - расшифровать файл "ov.bin" с помощью XOR-ключа, хранящегося в "a.json", и внедрить полученную оболочку в память процесса "explorer.exe" с помощью техники Early Bird APC injection (занесена в матрицу MITRE ATT&CK под кодом T1055.004). Расшифрованная полезная нагрузка представляет собой крупный фрагмент shellcode размером почти 72 КБ, упакованный с помощью инструмента Donut. Внутри этого shellcode находится ещё один, вложенный исполняемый PE-модуль, который и является финальной целью атаки. Параллельно исследователи обнаружили альтернативную цепочку доставки через туннели "chubby-resident" и "highland-trend-src-distinct", ориентированную, судя по названиям скриптов, на Великобританию. Она использует более сложную схему с загрузкой нескольких архивов, в том числе содержащих вредоносные DLL-библиотеки для внедрения, и последующей тщательной очисткой следов.

Наиболее значимым открытием стало обнаружение туннеля "highland-trend-src-distinct", который выполняет роль долгосрочного хранилища. На нём размещён архив "Sep01x86_Ayoo.zip", датированный 28 ноября 2025 года, что отодвигает начало активности этой группы как минимум на четыре месяца раньше, чем было известно ранее. Кроме того, на этом же сервере хранятся различные версии полезных нагрузок и скриптов для закрепления в системе, что позволяет проследить тактическую эволюцию злоумышленника. Анализ показывает переход от простых Python-скриптов к использованию собственных DLL-библиотек для внедрения кода, а затем - к более сложным и скрытным техникам вроде Donut-упаковки shellcode.

Однако, несмотря на явное развитие возможностей, группа допускает грубые промахи в операционной безопасности. В частности, в цепочке атаки через туннель "charger-van" выявлена критическая ошибка. Скрипт "pol.bat", предназначенный для обеспечения автозагрузки вредоносного кода после перезагрузки системы, ссылается на несуществующий путь "%LOCALAPPDATA%\lg07", в то время как основной установщик создаёт папку с именем "vours". В результате механизм persistence (закрепления в системе) молчаливо отказывает, и вредоносная активность может прекратиться после перезапуска компьютера. Другой ошибкой является ссылка в загрузчике на файлы "tv.bin" и "t.json", которые никогда не были размещены на сервере, что также может нарушить выполнение атаки.

Профиль угрозозаявителя указывает на умеренный уровень сложности. У группы есть собственные инструменты и многоуровневая архитектура инфраструктуры, но повторяющиеся OPSEC-неудачи снижают её эффективность. Высокая согласованность тактик, техник и процедур (TTP) во всех расследованных кампаниях, включая утечку одного и того же идентификатора безопасности (SID), подтверждает, что это одна и та же группа. Мотивация, вероятно, финансовая, а сама группа может выступать в роли брокера начального доступа, подготавливая инфраструктуру для последующей продажи другим злоумышленникам.

Эволюция тактик группы демонстрирует путь от относительно простых нагрузок к сложным методам обфускации и выполнения кода. Переход к использованию Donut для упаковки shellcode в сочетании с техникой Early Bird APC injection представляет собой значительный шаг в сторону повышения скрытности и сложности атак. Этот метод позволяет выполнять вредоносный код в памяти, минуя запись на диск, что усложняет обнаружение традиционными антивирусными средствами. Несмотря на операционные ошибки, такая тенденция указывает на то, что группа продолжает развивать свои возможности, оставаясь при этом активной и опасной для целевого бизнеса в Европе.

Domains

• charger-van-feb-circuit.trycloudflare.com
• chubby-resident-airlines-converter.trycloudflare.com
• crest-ind-snake-dublin.trycloudflare.com
• highland-trend-src-distinct.trycloudflare.com
• klein-changes-slim-starter.trycloudflare.com
• requires-fortune-nutten-eligible.trycloudflare.com
• wet-envelope-beam-laser.trycloudflare.com

SHA256

• 314c2cb202e4cea8d63051325abe326dfb75ae2995e843f6e8eea247290f59a1
• 43caced9aa891ec593e4d3f09e9858c5d63ba4f23584e86b6673146e75181045
• 5cab6bf65f7836371d5c27fbfc20fe10c0c4a11784990ed1a3d2585fa5431ba6
• 8301e344371b0753d547b429c5fe513908b1c9813144f08549563ac7f4d7da68
• 94fe098ad878291c43bd3515da6dca27ead39377f524152d357bb004e0cdb723
• 97b7c807c35e06f2fbc4723844b4dc99188de3c0e920d7b77fffce5f3d9a88db
• a3437b0605513413d6803f832d416a691a92ed970b3f5a76b93693b33465bbcf
• ab1ac7b16251a98bf0ca4a8df0c78de21b395ddd0a81aa273dd0fd40a3af7f03
• c37ccf440732aa346ea7541b80a3799bff4437e052023bacde50cef1c89801c2
• ccb47e0a1f0e55a35ba1d554070d3524a45dfa5b86ca36cd5fb7d05dbdd144ca
• d38b4e224197e1758b2d7e9453e332db112bbfd1be51ef01f28d874ed2b90a48
• f84763ec289fc0389b0dd1b240bbaa8a231b54ad0decc1b66b0eb07e5c7a70e2
• ff5a9c8bad4d0afa5fba68a08cf91dbda0619c06a143dcd0aeb5c2c5dccd0274