APT-Q-27: фишинг, подмена DLL и многоступенчатый бэкдор

Эксперты детально исследовали кампанию APT‑Q‑27, в ходе которой злоумышленники атаковали финансовые учреждения, используя сложный многоэтапный подход для скрытого выполнения вредоносного кода. Исследование показало, что злоумышленники отдали приоритет минимизации следов на диске и имитации законных системных действий, что значительно осложняет обнаружение и анализ. При этом перемещение по сети пострадавшей организации (lateral movement) не было выявлено.

Ключевые выводы

• Точка первоначального доступа — фишинговая ссылка, встроенная в тикет Zendesk, что привело к загрузке вредоносного файла, маскирующегося под изображение JPEG, но на самом деле являющегося PIF.
• Вредоносное ПО использует дроппер, который поэтапно извлекает полезную нагрузку, не внедряя её сразу на диск.
• Для запуска основной нагрузки применяется DLL sideloading: легитимно выглядящий загрузчик updat.exe загружает нелегитимную библиотеку crashreport.dll, именованную так, чтобы выглядеть как допустимая зависимость.
• После загрузки crashreport.dll вредоносный код выполняется с привилегиями процесса updat.exe, что позволяет обходить часть механизмов контроля.
• Вредонос включает множество механизмов уклонения и закрепления: проверка среды исполнения, задержки перед выполнением, скрытые окна, изменение реестра, автозапуск при загрузке, очистка истории браузера и логов Windows.
• Обнаружены несколько модулей бэкдора для передачи файлов, сбора учётных записей и выполнения команд — свидетельство комплексной инфраструктуры для поддержания контроля и кражи данных.

Вектор первоначального доступа

Расследование установило, что атака началась с фишинговой ссылки, встроенной в тикет Zendesk. Пользователь получил сообщение и скачал файл, визуально представленный как изображение JPEG, но по факту — файл формата PIF. Такая маскировка использует доверие пользователей к вложениям и системам поддержки, заставляя запускать вредоносную программу, считая её безопасной.

Техника выполнения и DLL sideloading

Рабочий процесс вредоносного ПО организован через дроппер, который не разворачивает полноценную полезную нагрузку на диск сразу, а загружает компоненты поэтапно. Ключевой приём — использование подписанного исполняемого файла updat.exe в роли загрузчика, тогда как вредоносная библиотека crashreport.dll помещается в тот же каталог и подставляется с помощью механизма DLL sideloading. Поскольку библиотека названа так, чтобы выглядеть как легитимная зависимость, Windows предпочитает загрузить её, и выполнение вредоносного кода происходит под видом доверенного процесса.

Механизмы уклонения и закрепления

• Проверки окружения: вредоносный код выполняет ряд тестов, чтобы убедиться, что он не работает в анализируемой или контролируемой среде.
• Использование подписей исполняемого кода для подрыва контроля доверия — злоумышленники опираются на доверие к подписанным приложениям.
• Случайные задержки и «переход в спящий режим» для уклонения от динамического анализа и sandboxes.
• Скрытые окна (Hidden window) и другие приёмы для неприметного выполнения операций.
• Закрепление в системе: добавление автозапуска через реестр, обеспечение запуска при загрузке системы.
• Очистка следов: удаление истории браузера и очистка журналов событий Windows для затруднения расследования и обхода средств обнаружения.

Структура бэкдора и цели атак

Анализ показал несколько модулей бэкдора, каждый из которых выполняет специализированные задачи:

• Передача файлов (exfiltration) — извлечение данных с заражённой машины.
• Сбор учётных записей и учётной информации — захват учётных данных пользователей и систем.
• Удалённое выполнение команд (C2 capability) — поддержание управления и выполнение команд злоумышленников.

Наличие таких модулей указывает на цель кампании: длительное сохранение доступа, сбор конфиденциальной информации и возможность целенаправлённого воздействия на системы финансовых организаций.

Соотнесение с MITRE ATT&CK

Поведение вредоносного ПО явно коррелирует с известными техниками из MITRE ATT&CK: первоначальный доступ через фишинг (Phishing), выполнение полезной нагрузки, маскировка под легитимные системные файлы (Masquerading), упор на уклонение (Defense Evasion) и закрепление (Persistence). Документация атак чётко привязана к этим тактикам и демонстрирует систематический подход злоумышленников.

Последствия и рекомендации

Кампания APT‑Q‑27 демонстрирует зрелую, целенаправленную модель атак с сильным акцентом на скрытность и долгосрочное присутствие. Для снижения риска и повышения устойчивости организаций рекомендуется:

• Усилить проверку входящих тикетов и вложений в сервисных платформах (включая Zendesk), внедрить сканирование вложений и фильтрацию ссылок.
• Осуществлять контроль целостности исполняемых файлов и библиотек, отслеживать подозрительные версии компонентов в локальных каталогах приложений.
• Внедрить мониторинг поведения процессов, а не только сигнатурный контроль; обращать внимание на процессы с необычными зависимостями или загрузками DLL.
• Ограничивать привилегии приложений и пользователей, минимизировать доверие к подписанным исполняемым файлам без дополнительной валидации.
• Поддерживать централизованный сбор логов и защиту логов от удаления; отслеживать аномальные удаления истории браузера и очистки Event Log.

«APT‑Q‑27 применяет многоэтапный, малозаметный подход, ориентированный на сохранение контроля и извлечение конфиденциальных данных из финансовых организаций,» — отмечают исследователи.

Финансовые организации остаются привлекательной целью для продвинутых угроз. Комплексный подход к защите — сочетание технических мер, мониторинга и процедур безопасности при работе с инцидентами — остаётся критически важным для обнаружения и нейтрализации подобных кампаний.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.