Анализ масштабной кибератаки на российский ИТ-сектор и международные цели
Источник: securelist.com
В период с ноября 2024 года по апрель 2025 года была зафиксирована масштабная и длительная кибератака, нацеленная как на российский ИТ-сектор, так и на различные зарубежные компании. Злоумышленники применяли сложные методы для обхода систем защиты, включая активное использование популярных платформ пользовательского контента и социальных сетей.
Методы проведения атаки и этапы заражения
Атакующая кампания началась с распространения фишинговых электронных писем. Вредоносные вложения в письмах были тщательно замаскированы под официальные сообщения от государственных компаний, преимущественно работающих в нефтегазовой отрасли. Такая тактика помогла злоумышленникам создать _фальшивую легитимность_ и повысить вероятность открытия вложенных файлов целями, что в итоге приводило к компрометации систем.
Основой атаки стал широко известный Cobalt Strike Beacon, который использовался для дальнейшего контроля над заражёнными системами. После небольшой паузы кампания была возобновлена в апреле 2025 года с обновлёнными образцами атак.
Использование DLL Hijacking и сложное маскирование вредоносного кода
Одним из ключевых приёмов злоумышленников стал захват библиотеки DLL, известный как T1574.001. Для реализации этой техники была использована легитимная утилита отправки сообщений о сбоях – BsSndRpt.exe. Вредоносный исполняемый файл был переименован в nau.exe, после чего была произведена замена стандартного библиотечного файла BugSplatRc64.dll на вредоносный вариант.
- Такое внедрение позволяло загружать вредоносный код вместо легитимной библиотеки.
- Для усложнения обнаружения злоумышленники применяли динамическое разрешение API (T1027.007), скрывая вызовы функций на этапе выполнения.
- В вызовах функции MessageBoxW происходило перенаправление на вредоносную функцию внутри DLL, что эффективно маскировало действия вредоносного ПО от систем безопасности и эмуляторов.
Двухэтапный процесс загрузки шеллкода и использование популярных платформ
Вредоносная функция под названием NewMessageBox реализовывала двухэтапный механизм получения и выполнения шеллкода. Первоначально она извлекала HTML-контент с заранее подготовленных URL-адресов, указанных в вредоносной библиотеке.
Особенностью было то, что эти URL приводили к размещённой на популярных платформах, таких как GitHub и Microsoft Learn Challenge, вредоносной полезной нагрузке. Хотя профили, с которых это распространялось, не были реальными учетными записями, этот приём отражает новую тактику злоумышленников по использованию авторитетных сервисов для хранения информации и обеспечения устойчивости атаки.
Технические детали и география атаки
- Распакованный и дешифрованный шеллкод содержал _отражающий_ загрузчик, который внедрял маяк Cobalt Strike непосредственно в память целевого процесса (T1620).
- Связь с управляющим сервером (C2) осуществлялась через _зашифрованные_ URL-адреса, что затрудняло обнаружение и анализ сетевого трафика.
- Схожие методы ранее использовались в атаках, известных под названием EastWind, нацеленных на российские ИТ-компании и международные организации.
- Жертвы атаки были зафиксированы в России, а также в таких странах, как Китай, Япония, Малайзия и Перу.
Заключение
Анализ кампании подчеркивает тенденцию злоумышленников использовать комплексные методы и надежные платформы для обеспечения устойчивости и уклонения от обнаружения. Современные инструменты, такие как Cobalt Strike, в сочетании с техникой DLL Hijacking и динамическим разрешением API, превращают атаки в сложные и многоуровневые операции. Это требует от специалистов по кибербезопасности постоянного обновления знаний и применения новейших мер защиты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
