Специалисты компании Seqrite Labs обнаружили целевую фишинговую атаку, нацеленную на студентов и преподавателей Чанчжоуского университета (провинция Цзянсу, КНР). Злоумышленники использовали в качестве приманки обязательное ежегодное тестирование физической подготовки, результаты которого напрямую влияют на возможность получения диплома. Такое психологическое давление существенно повышает вероятность того, что жертва откроет вредоносное вложение.
Описание
Вредоносное письмо приходит с адреса 18115820617@163.com, зарегистрированного на бесплатном почтовом сервисе NetEase. Выбор бесплатного провайдера не случаен: корпоративные системы защиты редко блокируют письма с общедоступных доменов, что позволяет обойти стандартные фильтры. В письме содержится ZIP-архив с названием "常州大学2026年《国家学生体质健康标准》测试通知最终版.zip" ("Уведомление о тестировании по стандартам здоровья учащихся за 2026 год - финальная версия"). Внутри архива находится LNK-файл - ярлык Windows, который маскируется под PDF-документ с двойным расширением.
После того как жертва запускает этот ярлык, начинается цепочка заражения. LNK-файл использует легитимный исполняемый файл explorer.exe для запуска скрипта на языке VBScript, который спрятан в четырёхуровневой вложенности папок. Такой подход называется "проживанием за счёт легальных средств" (LOtL) - он не вызывает подозрения у систем обнаружения, так как не порождает процессы wscript.exe или cscript.exe, которые обычно находятся под наблюдением.
Сценарий VBScript (chromedo.vbs) выполняет две параллельные задачи. Во-первых, он сразу открывает перед жертвой поддельный PDF-документ - точную копию официального уведомления Чанчжоуского университета, с реальными именами сотрудников, номерами телефонов и даже печатью учебного заведения. Как отмечается в отчёте Seqrite Labs, этот уровень подделки говорит о глубоком знании внутренней культуры китайских университетов - либо благодаря доступу к внутренним данным, либо после тщательного сбора открытых сведений. Во-вторых, примерно через 800 миллисекунд скрипт незаметно запускает легитимную программу для работы с архивами Bandizip (Bandisoft) из скрытой папки, причём окно не показывается.
Bandizip, будучи доверенным приложением, загружает зловредную DLL-библиотеку с именем ark.x64.dll, которую злоумышленники разместили рядом с его исполняемым файлом. Из-за стандартного порядка поиска DLL в Windows система сначала находит эту подменённую библиотеку в локальной папке, а не в системном каталоге. Внутри библиотеки экспортируется функция CreateArk, которая проверяет, не запущена ли на компьютере жертвы среда отладки или анализа: она ищет такие процессы, как Wireshark, Procmon, Tcpview, Fiddler и другие инструменты, используемые специалистами по безопасности. Если обнаруживается подобная активность, программа немедленно завершает работу, не оставляя следов.
Если же проверка пройдена, DLL расшифровывает в памяти самораспаковывающийся (SFX) архив, который был заранее встроен в ту же структуру папок. Расшифрованный код вступает во взаимодействие с механизмами безопасности Windows: он отключает антивирусный сканировщик AMSI и систему трассировки событий ETW. После этого из памяти извлекается финальная полезная нагрузка - бэкдор Cobalt Strike, который используется для удалённого управления заражённой системой. Весь процесс происходит полностью в оперативной памяти, без записи на диск, что делает обнаружение традиционными антивирусами крайне затруднительным.
Инфраструктура управления атакой также тщательно продумана. Все выявленные образцы вредоносных файлов соединяются с одним и тем же сервером управления (C2), расположенным по адресу 60.205.186[.]162. Этот IP принадлежит облачному провайдеру Alibaba Cloud (номер автономной системы AS37963), что характерно для ранее задокументированных кампаний этой группы. Доменное имя lysander.asia было зарегистрировано через китайского регистратора HiChina (дочернюю компанию Alibaba), причём для регистрации обычно требуется верификация личности - это дополнительно указывает на китайское происхождение операторов. Наличие MX-записей для корпоративного мессенджера Feishu (продукт компании ByteDance) также является сильным признаком того, что группа действует из материкового Китая.
На основе совпадения тактик, техник и процедур (ТТП) Seqrite Labs с высокой долей уверенности связывает текущую кампанию с ранее известной группой UNG002. В предыдущей операции Cobalt Whisper эта же группа использовала похожие LNK-файлы и зашифрованные VBS-скрипты. Разница лишь в том, что тогда инфраструктура размещалась на Tencent Cloud, а теперь - на Alibaba Cloud. Такие плановые смены облачных провайдеров помогают атакующим уходить от блокировок по номерам автономных систем.
Исследователи дали новой кампании название Operation Dragon Whistle. Слово "Дракон" указывает на географическую и культурную специфику цели - китайское учебное заведение, китайский образовательный стандарт, китайскоязычные жертвы. "Свисток" символизирует то, что приманка действует как сигнал, привлекающий внимание (как свисток судьи), в то время как вредоносная нагрузка выполняется бесшумно и незаметно.
Для защиты от подобных атак специалистам по безопасности вузов рекомендуется усилить фильтрацию входящей почты, особенно сообщений с бесплатных почтовых доменов, а также проводить разъяснительную работу среди студентов и преподавателей о недопустимости открытия вложений из непроверенных источников, даже если тема письма выглядит официальной и срочной.
Индикаторы компрометации
IPv4
- 60.205.186.162
SHA256
- 35a478f53f64bd412f374c65360fdba0518749537193669a8fe08d14bed65a2a
- c937eca7c4c9b98df9257d986e666d25411aac5fa39d21f7018dd2e1663f0c76
- cd99e83d241cfbb41bfcd0bc622a87d16268e710ca7d736d0c5f44774e0056e2
- e7aff6a55a7866776272d9913dfbf9d7db33fc9de6aced22f2a195feebb0e85f
- eb14d9e35a3bf0a933297f861bee0be9e6b9061fe4573a81ac92b71d55b6474f
- ed7087e3afba4b320bdf04f32d3a6c567effd3d18a97682968e567000e70b335
- fe11b199ada23d5ac25efc4215e67f4ff617ccb4d429eb64412072687367ca1c
