APT «Pseudo Hunter»: vhdx-файлы и зашифрованный GitHub

В августе 2025 года разведывательная лаборатория DeepView выявила серию сложных целенаправленных атак — APT-группу, получившую условное название «Pseudo Hunter». Злоумышленники применяли файлы vhdx как исходный вектор фишинга, а затем эволюционировали, начав использовать репозитории GitHub для распространения зашифрованных полезных данных. Выявленные методы указывают на продуманный подход к компрометации и длительному скрытому присутствию в целевых средах.

Как работал начальный вектор атаки

Атаки начинались с доставки файлов vhdx, замаскированных под легитимные вложения фишинговых писем. После открытия или монтирования такого файла злоумышленники получали доступ к целевой среде. Применение vhdx дает несколько преимуществ злоумышленникам:

• возможность скрыть полезные данные внутри виртуального диска;
• использование привычных для администратора форматов, что повышает вероятность успешного открытия вложения;
• снижение видимости для традиционных антивирусных сканеров, ориентированных на исполняемые файлы и архивы.

Эволюция тактики: GitHub и зашифрованные полезные данные

По мере развития операций «Pseudo Hunter» начал использовать репозитории GitHub для размещения зашифрованных payload’ов. Такие приемы усложняют обнаружение и анализ угроз:

• зашифрованные полезные данные не поддаются простому статическому анализу;
• легитимная платформа хостинга (GitHub) снижает подозрительность трафика и позволяет обходить фильтры;
• оперативная доставка и обновление payload’ов через репозиторий обеспечивает гибкость и устойчивость кампании.

«Использование зашифрованных полезных данных означает попытку скрыть вредоносный контент, что усложняет задачу обнаружения и анализа для специалистов по безопасности», — указывает отчет DeepView.

Чем это опасно

Интеграция vhdx-атак и размещения зашифрованных payload’ов на GitHub указывает на несколько тревожных тенденций в развитии APT-операций:

• повышение сложности и скрытности атак: комбинирование разных векторов и легитимных сервисов;
• затруднение анализа угроз: зашифрованные компоненты требуют дополнительных усилий для дешифровки и детектирования;
• усиление возможностей шпионажа: методичное управление доставкой и исполнением вредоносного ПО обеспечивает длительное присутствие в сети жертвы.

Рекомендации для организаций

Для уменьшения рисков и повышения готовности к обнаружению подобных кампаний специалисты по безопасности должны рассмотреть следующие меры:

• усилить контроль и фильтрацию почтовых вложений, включая сканирование и изоляцию файлов vhdx перед их открытием;
• внедрить процессы Content Disarm & Reconstruction (CDR) для небезопасных вложений;
• мониторить доступ к внешним репозиториям (включая GitHub) и анализировать необычные запросы к raw- или release-артефактам;
• инструменты Threat Hunting настроить на поиск подозрительных монтирований виртуальных дисков и сессий, связанных с запуском файлов из vhdx;
• применять детекцию аномалий в трафике и поведенческий анализ для выявления скрытых каналов C2 и загрузки зашифрованных payload’ов;
• иметь процедуру быстрой реакции, включающую изоляцию скомпрометированных хостов и анализ загруженных образов vhdx;
• обучать сотрудников распознаванию фишинга и правилам безопасной работы с вложениями и внешними репозиториями.

Вывод

Обнаруженная DeepView кампания «Pseudo Hunter» демонстрирует, как злоумышленники комбинируют привычные форматы файлов и легитимные облачные сервисы, чтобы усложнить обнаружение и обеспечить устойчивую доставку вредоносного ПО. Эта тенденция подчеркивает необходимость перехода от традиционных сигнатурных подходов к многоуровневым стратегиям обнаружения, включающим анализ поведения, мониторинг внешних репозиториев и проактивный Threat Hunting.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.