Информационная безопасность вновь столкнулась с изощрённой атакой, нацеленной на бизнес-коммуникации. На этот раз угроза пришла из Турции, где злоумышленники использовали свежую уязвимость в популярном архиваторе WinRAR для распространения ранее неизвестной программы удалённого доступа (RAT). Атака примечательна не только эксплуатацией критического недостатка в широко распространённом ПО, но и построением всей инфраструктуры командования и управления на базе публичных сервисов - Google Cloud и Telegram. Этот подход позволяет вредоносной программе эффективно маскировать свою активность под легитимный трафик.
Описание
Инцидент начался с файла с типичным для деловой переписки названием "fiyat teklifi.rar", что переводится как "предложение цены". Такой архив ежедневно отправляется тысячами между турецкими компаниями, что делает его идеальной приманкой. Однако внутри вместо коммерческого документа скрывалась эксплойт-утилита, использующая уязвимость CVE-2025-8088. Эта уязвимость класса path traversal (обход пути) существует в механизме обработки альтернативных потоков данных NTFS архиватором WinRAR. При её эксплуатации архив, содержащий 30 таких скрытых записей, при извлечении автоматически помещает вредоносный исполняемый файл прямо в папку автозагрузки Windows. Жертве не требуется никаких дополнительных действий - достаточно открыть архив, что с высокой вероятностью и происходит при ожидании увидеть внутри коммерческое предложение.
Первой стадией атаки становится небольшой загрузчик под названием Updater.exe. Этот компактный бинарный файл размером всего 6,6 КБ, написанный на .NET, выполняет единственную функцию: он связывается с сервером на платформе Google Cloud по конкретному IP-адресу и загружает основную полезную нагрузку. Его малый размер и простая структура помогают ему избегать эвристического обнаружения системами защиты. Основную угрозу представляет собой второй этап - программа, которую исследователи назвали MaQ RAT.
Этот вредоносный инструмент представляет собой упакованное с помощью PyInstaller приложение Python 3.13 внушительного размера - 76 мегабайт. На момент обнаружения данный образец отсутствовал в базе VirusTotal, что указывает на его уникальность и целенаправленный характер. Эксперты смогли захватить его непосредственно с живого сервера управления, который продолжал работать и раздавать вредоносный код в момент расследования. Ключевой особенностью MaQ RAT является использование для управления Telegram Bot API. Вся коммуникация между скомпрометированным компьютером и оператором проходит через бота @Roberta3358_bot, а для выгрузки похищенных данных задействуется FTP-сервер. Такой подход позволяет трафику от программы-шпиона полностью сливаться с миллиардами легитимных запросов к API Telegram, ежедневно проходящих через сеть, что крайне затрудняет его обнаружение сетевыми системами защиты.
Аналитикам удалось извлечь и расшифровать конфигурацию RAT, которая хранилась в зашифрованном виде внутри бинарного файла. В неё входят полный токен Telegram-бота, пароль для аутентификации оператора, учётные данные FTP-сервера и идентификатор чата администратора, куда отправляются украденные данные. Обладание этой информацией теоретически позволяет специалистам по безопасности мониторить канал управления, перехватывать команды и даже инвентаризировать данные на FTP, чтобы идентифицировать других пострадавших.
Функциональность MaQ RAT впечатляет своей полнотой и ориентирована на тотальную слежку за жертвой. Вредоносная программа включает в себя клавиатурный шпион, модули для захвата изображения с веб-камеры и записи экрана, активацию микрофона для прослушивания, а также выгрузку файлов через FTP. Кроме того, она крадёт сохранённые пароли и cookies из браузеров, обходит контроль учётных записей пользователей для повышения привилегий и отключает защитник Windows. Однако наиболее необычной чертой является механизм выбора лидера. В отличие от большинства RAT, которые управляют каждой жертвой изолированно, MaQ RAT способен координировать действия между несколькими заражёнными машинами, выбирая среди них "ведущий" экземпляр. Это указывает на то, что оператор работает не с отдельными инфицированными системами, а управляет целыми кампаниями, что характерно для более продвинутых угроз.
Обнаружение этой атаки демонстрирует несколько тревожных тенденций. Во-первых, злоумышленники оперативно включают в свой арсенал свежие уязвимости в массовом ПО, эксплуатируя окно между публикацией информации об уязвимости и установкой обновлений пользователями. Во-вторых, наблюдается активное использование легитимных облачных сервисов и популярных мессенджеров для построения устойчивой и скрытной инфраструктуры, что серьёзно усложняет задачи обнаружения и блокировки для SOC (Security Operations Center, центр мониторинга и реагирования на инциденты ИБ). В-третьих, мишенью выбраны рутинные бизнес-коммуникации, где бдительность пользователей традиционно снижена. Для защиты от подобных угроз критически важно своевременно обновлять программное обеспечение, включая такие инструменты, как архиваторы, внедрять решения для анализа поведения конечных точек, способные обнаруживать аномальные активности, и обучать сотрудников правилам кибергигиены при работе с вложениями в электронной почте, даже если они выглядят привычно и безобидно.
Индикаторы компрометации
IPv4
- 34.69.246.76
- 76.246.69.34
- 95.70.214.153
SHA256
- 07f2d8f3a9c9430d91620d6a8b83c20dc9d020f00b7066b3ff9bd0fec20b7c2d
- 59100fba79307120816c9733e38d85a2c9b769905f1a8177863a5b97255ca46e
- dc4268f52b742829a105c0d89498c24b2dfffd6c8a8ca99bb447b47b9661718a
- f130fafb1d81adb66184751b96b8673fbbff7118990753f97c3a1ef33ee0fd84
