СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
13.10.2025
#ИБ#Инфра

BatShadow атакует соискателей: Vampire Bot в ZIP-файлах

BatShadow атакует соискателей: Vampire Bot в ZIP-файлах

В новой целевой кампании вьетнамская хакерская группировка BatShadow нацелилась на соискателей работы и специалистов по цифровому маркетингу, применяя сложные методы социальной инженерии. Злоумышленники распространяют вредоносное ПО, маскируя его под легитимные документы, связанные с трудоустройством, и добиваются первоначального доступа через фишинговые взаимодействия, при которых они выдают себя за рекрутеров или работодателей.

Как работает кампания

Ключевой вектор атаки — ZIP-архивы, содержащие созданные поддельные документы, которые побуждают пользователя открыть вложения. Наиболее примечательный артефакт кампании — архив с именем «ATG_Technology_Group_Marketing_Job_Description.zip». Внутри находятся поддельные PDF-файлы и вредоносный файл быстрого доступа Windows, замаскированный под PDF. После запуска этот ярлык запускает скомпилированный на Go двоичный файл — Vampire Bot.

Функциональность Vampire Bot

  • Бот выполняет профилирование хоста и формирует инициализационный маячок в формате JSON, отправляя на сервер злоумышленников информацию, включая учетные данные пользователя, данные об операционной системе, аппаратные идентификаторы и статус установленных продуктов безопасности.
  • Поддерживает постоянное соединение с сервером управления (C2) и получает удалённые команды.
  • Проводит непрерывный захват рабочего стола (скриншоты) и эксфильтрацию изображений; параметры качества и частоты захвата могут динамически изменяться по командe с C2.
  • Связь с C2 осуществляется по зашифрованному каналу, команды доставляются и выполняются на скомпрометированной системе.

Зачем это нужно злоумышленникам

Собранные ботом данные позволяют атакующим адаптировать дальнейшие действия под каждую жертву: понимание конфигурации системы, наличия защитных решений и учетных записей повышает шансы успешного распространения и долго поддерживаемого доступа.

Историческая привязка и значимость

Сервер C2, задействованный в кампании, имеет исторические связи с вьетнамскими злоумышленниками, что подтверждает и укрепляет выводы о том, что эта кампания — часть продолжающихся операций BatShadow. Масштаб и точность социальной инженерии делают атаку особенно опасной для целевой аудитории — соискателей и специалистов по маркетингу, которые регулярно получают подобные документы.

Индикаторы компрометации (IoC) и признаки атаки

  • Файлы ZIP, содержащие файлы с именами, имитирующими job description и маркетинговые документы (пример: ATG_Technology_Group_Marketing_Job_Description.zip).
  • Вложенные «PDF», которые на самом деле являются Windows shortcut/ярлыками, запускающими бинарники.
  • Сетевой трафик к внешним C2-серверам по зашифрованным каналам с нестандартными шаблонами beacon (JSON-маячок с системной информацией).
  • Необычная активность снятия скриншотов и/или частые обращения к графическим буферам рабочего стола.

Рекомендации по защите

  • Бдительность при обработке писем о трудоустройстве: проверяйте адрес отправителя, домены рекрутинговых агентств и фактические URL-адреса вложений.
  • Не открывайте вложения из ZIP-файлов, если их происхождение вызывает сомнения; проверяйте расширения файлов (например, .lnk может маскироваться под .pdf).
  • Отключите выполнение необязательных скриптов и запрещайте запуск неизвестных бинарников на рабочих станциях с помощью Application Control / whitelisting.
  • Обновите и мониторьте решения Endpoint Detection and Response (EDR) и антивирусное ПО; следите за событиями, связанными с подозрительными процессами и сетевыми соединениями.
  • Организуйте сегментацию сети, ограничьте исходящие соединения и внедрите мониторинг аномалий трафика, чтобы обнаруживать C2-коммуникации.
  • Вводите практики безопасного обмена файлами: используйте проверенные платформы для обмена резюме и документов, а не вложения в письмах.
  • Активируйте многофакторную аутентификацию (MFA) в корпоративных сервисах — это уменьшит вероятность успешного использования похищенных учетных данных.

Заключение

Кампания BatShadow демонстрирует рост профессионализма атак через социальную инженерию и указывает на устойчивую практику использования тематических приманок (job offers, marketing materials) для заражения. Для снижения риска организациям и частным лицам важно усилить процедуры проверки входящих документов, внедрять технические барьеры на исполнение неподписанных бинарников и усиленно мониторить сетевую активность на предмет признаков C2-коммуникаций.

Ключ к защите — сочетание человеческой осторожности и технических мер: не открывать сомнительные вложения и не позволять неизвестным исполняемым файлам запускаться в корпоративном окружении.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: