СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
27.10.2025
#Dev#ИБ#ИИ

APT-C-60 в Японии: эволюция SpyGlace и атаки через VHDX

Подтверждено, что ударная группа APT-C-60 продолжает целенаправленные операции в Японии: активность зафиксирована в период с июня по август 2025 года. Атакующая сторона внесла изменения в тактику доставки и в функционал своего вредоносного ПО SpyGlace, сохранив при этом фокус на Японии и других регионах Восточной Азии.

Ключевые детали инцидентов

  • Злоумышленники использовали вредоносное электронное письмо, замаскированное под заявление о приёме на работу и адресованное менеджеру по найму.
  • В отличие от атаки в августе 2024 года (когда VHDX-файл загружался с Google Drive), в текущей кампании вредоносный VHDX-файл был непосредственно прикреплён к письму.
  • При открытии вложения запускался переход по ссылке внутри VHDX, что инициировало выполнение вредоносного скрипта через легитимный инструмент — Git.
  • JPCERT/CC выявила три новые версии SpyGlace: 3.1.12, 3.1.13 и 3.1.14, заметно отличающиеся от ранее обнаруженной версии 3.1.6 (2024).

JPCERT/CC выявила три новые версии вредоносного ПО SpyGlace — версии 3.1.12, 3.1.13 и 3.1.14, которые демонстрируют значительные изменения по сравнению с более ранней версией 3.1.6.

Что изменилось в SpyGlace

Анализ новых сборок показал структурные и функциональные изменения:

  • Команды ‘prockill’ и ‘proclist’ выведены из строя (удалены или деактивированы).
  • Введена новая команда ‘uld’, которая выгружает модуль после небольшой задержки после вызова определённой функции.
  • Команда «screenupload» была переработана: изменён путь к файлу и функция экспорта, связанная с возможностями скриншотов, что указывает на её роль в эксфильтрации изображений экрана.

Механизмы кодирования и передачи данных

SpyGlace применяет комбинированную схему кодирования и упаковки конфигурации/строк:

  • Используется комбинация 1-байтовых инструкций XOR и вспомогательных команд для декодирования строк и динамических настроек API.
  • Команда «Загрузить» облегчает передачу зашифрованных файлов: переданные файлы расшифровываются с помощью AES128-CBC с указанным ключом и IV и сохраняются как временные файлы в каталоге %temp%.

Инфраструктура и тактические тенденции

Отмечается сдвиг в инфраструктуре распространения полезной нагрузки: преступники перешли от использования Bitbucket к GitHub. Использование публичных репозиториев на GitHub позволяет потенциально извлекать ранее сгенерированные payload’ы, если репозиторий остаётся доступным — что увеличивает риск перманентной угрозы.

В целом, несмотря на изменения в тактике и инфраструктуре (например, переход на GitHub и прямую доставку VHDX), фундаментальный характер операций APT-C-60 остаётся прежним — целевые, ориентированные кампании против Японии и Восточной Азии с использованием легитимных сервисов для маскировки и доставки вредоносного ПО.

Рекомендации для организаций

Учитывая текущие тенденции, организациям рекомендуется усилить превентивные меры и мониторинг:

  • Повысить внимательность при обработке писем с вложениями, особенно VHDX-файлов, приходящих от внешних источников.
  • Ограничить или контролировать возможность запуска скриптов через внешние инструменты (включая использование Git) и мониторить нетипичную активность, связанную с клонированием/выполнением из репозиториев.
  • Следить за доступностью публичных репозиториев: если обнаружены подозрительные репозитории, инициировать их удаление или блокировку и проверить связанные с ними артефакты.
  • Обеспечить сканирование вложений и временных файлов в %temp%, а также корреляцию событий расшифровки/создания временных файлов с сетевой активностью.
  • Проводить обучение сотрудников по распознаванию фишинговых писем, замаскированных под HR/вакансии, и внедрять политики проверки вакансий и резюме.
  • Усилить обнаружение и реагирование на поведенческие индикаторы, связанные с эксфильтрацией данных (включая модификации путей файлов и операции со скриншотами).

Эти меры помогут снизить риск успешного внедрения и распространения модифицированных версий SpyGlace и других похожих кампаний, использующих легитимные сервисы для маскировки вредоносной активности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: