Вьетнамские хакеры BatShadow атакуют соискателей работы с помощью бота Vampire

Лаборатория Aryaka Threat Research Labs провела детальный анализ кампании, организованной вьетнамской группировкой BatShadow, которая целенаправленно атакует соискателей вакансий и специалистов по цифровому маркетингу. Злоумышленники используют сложные методы социальной инженерии для распространения вредоносных файлов, замаскированных под описания вакансий или профессиональные документы. Эти файлы тщательно подготовлены, чтобы выглядеть легитимными, и побуждают получателей открыть их, что приводит к заражению системы.

Описание

После запуска вредоносная программа активирует бота, написанного на языке Go, который предназначен для наблюдения за системой и кража данных. Бот собирает критически важную системную информацию и немедленно отправляет зашифрованный с помощью AES сигнал (beacon) на свою командную инфраструктуру (C2), чтобы установить связь с операторами. После первоначального сигнала бот начинает непрерывное наблюдение за рабочим столом, делая снимки экрана с интервалами, заданными C2-сервером. Эти снимки, сохраняемые в формате WEBP, передаются по HTTPS, смешиваясь с обычным сетевым трафиком для избежания обнаружения.

Вредоносная программа также поддерживает постоянный цикл связи с C2 для получения зашифрованных инструкций, которые могут включать выполнение команд или загрузку и запуск дополнительных полезных нагрузок. Важно отметить, что бот непрерывно сообщает о статусе задач на сервер, что позволяет BatShadow сохранять полный удаленный контроль над скомпрометированными системами.

Исходный вектор заражения этой кампании остается неизвестным, однако атаки используют изощренные методы социальной инженерии. Злоумышленники часто выдают себя за рекрутеров или работодателей, чтобы заставить цели, обычно соискателей и специалистов по цифровому маркетингу, взаимодействовать с вредоносными вложениями. Эти вложения обычно представляют собой ZIP-архивы, содержащие описания вакансий или профессиональные документы. В некоторых случаях пользователи могут перенаправляться на фишинговые сайты, которые предлагают загрузить вредоносные ZIP-файлы, однако точный метод доставки в этой кампании не подтвержден.

В данной кампании был идентифицирован ZIP-архив с именем "ATG_Technology_Group_Marketing_Job_Description.zip", который доставляет вредоносное содержимое. Архив содержит несколько документов-приманок в формате PDF вместе с вредоносным файлом ярлыка Windows (.LNK), замаскированным под PDF-документ с именем "ATG_Technology_Group_Marketing_Job_Description.pdf.lnk".

При выполнении пользователем вредоносного LNK-файла запускается скрытая команда PowerShell, которая загружает документ-приманку PDF с URL-адреса Bunny CDN "hxxps://555555cnd.b-cdn[.]net/Marriott_Marketing_Job_Description.pdf". Файл сохраняется как "C:\Users\Public\Marriott.pdf" и немедленно открывается, чтобы обмануть жертву, заставив ее поверить, что она получила доступ к легитимному документу.

После открытия документа-приманки скрипт PowerShell загружает другой ZIP-файл с того же Bunny CDN, сохраняет его как "C:\Users\Public\002.zip" и извлекает его содержимое. Этот архив содержит файлы, связанные с приложением для удаленного доступа XtraViewer. Скрипт PowerShell затем запускает XtraViewer.exe, который отображает интерфейс входа в систему.

Злоумышленники предпочитают использовать легитимные инструменты удаленного доступа, такие как XtraViewer, чтобы превратить скомпрометированные конечные точки в постоянно контролируемые машины без развертывания очевидного вредоносного программного обеспечения. Поскольку XtraViewer является доверенным подписанным приложением, предлагающим полные интерактивные сеансы, необходимо соблюдать осторожность. Этот инструмент помогает злоумышленникам избегать некоторых эвристик антивирусных программ и смешиваться с обычной административной активностью. После установки он может использоваться для перемещения по сети, кражи данных или передачи контроля операторам.

Файл "Marriott_Marketing_Job_Description.pdf.exe" представляет собой скомпилированный бинарный файл на Go, который функционирует как бот, собирающий детальную информацию о системе, непрерывно захватывающий и передающий снимки экрана, а также поддерживающий цикл опроса C2 для получения задач, таких как выполнение команд и загрузка дополнительных полезных нагрузок.

Бинарный файл содержит многочисленные функции с именами, начинающимися с префикса batman. Для целей отслеживания эта группа угроз обозначена как "BatShadow", а связанное с ней вредоносное программное обеспечение - как "Vampire bot".

После выполнения Vampire копирует себя в директорию "C:\Users\<UserName>\AppData\Local\Packages\edge", применяет команду "attrib.exe +s +h", чтобы установить файл как системный и скрытый, а затем перезапускает себя из нового местоположения для обеспечения скрытности. Затем он создает мьютекс с именем "edge", чтобы гарантировать, что только один экземпляр вредоносного программного обеспечения работает одновременно.

Злоумышленники все чаще создают вредоносные бинарные файлы, скомпилированные на Go, потому что этот язык предлагает переносимость, скрытность и гибкость, которые делают их кампании труднее обнаруживаемыми и прерываемыми. Один бинарный файл Go может быть кросс-компилирован для работы на Windows, Linux и macOS с минимальными изменениями, что позволяет злоумышленникам масштабировать свои операции в разнородных средах. Исполняемые файлы Go часто больше и менее знакомы традиционным антивирусным и конечным инструментам, что может задерживать обнаружение и создание сигнатур. Эффективность Go для создания вредоносного программного обеспечения со встроенными коммуникациями C2, обработкой файлов и доставкой полезных нагрузок вызывает серьезную озабоченность. С точки зрения злоумышленника, это означает более быстрые циклы разработки, широкий охват и лучшее уклонение, что делает Go все более привлекательным языком для современных семейств вредоносных программ.

Эксперты по безопасности подчеркивают, что использование легитимных инструментов и сложных методов социальной инженерии представляет значительную угрозу для организаций и частных лиц. Специалисты рекомендуют проявлять особую осторожность при получении неожиданных предложений о работе, проверять отправителей и использовать современные решения безопасности, способные обнаруживать аномальную активность и сложные угрозы.