BatShadow и Vampire bot: целевые атаки на цифровых маркетологов

Хакерская группировка BatShadow, связанная с вьетнамскими кибер-акторами, провела серию атак с использованием вредоносного ПО Vampire bot, нацеленных преимущественно на специалистов по цифровому маркетингу и лиц, ищущих работу. Атакa использует изощрённые методы социальной инженерии: вредоносные документы вводят жертву в заблуждение и инициируют выполнение кода, после чего начинается профильная разведка и связь с сервером управления злоумышленников.

Краткая характеристика атаки

После запуска Vampire bot создаёт мьютекс и отправляет инициализационный маяк (beacon) на C2-сервер, идентифицированный как samsungcareers.work с разрешением на IP-адрес 103.124.95.161. Маяк структурирован как объект JSON и содержит подробные данные профилирования хоста.

«Бот-вампир предназначен для множества вредоносных действий, включая наблюдение за системой, эксфильтрацию данных и выполнение удалённых задач.»

Что собирает и передаёт маяк

• имя пользователя и информация об операционной системе;
• HWID (Hardware ID) устройства;
• характеристики процессора и GPU;
• архитектура системы (32/64-bit и пр.);
• внешние и локальные IP-адреса и геолокация;
• уровень привилегий запущенного процесса;
• перечень установленных продуктов безопасности;
• измерение сетевой задержки через значение ping;
• версия вредоносного ПО для идентификации конкретной сборки.

Атрибуция и цель атак

Связь с вьетнамскими злоумышленниками подтверждается историческим вниманием к лицам, занимающим должности в сфере digital marketing, что указывает на целенаправленный подход и специфическую операционную модель. Уровень уверенности в атрибуции оценивается как средний; необходимы дополнительные индикаторы для окончательного подтверждения.

Последствия для потенциальных жертв

Воздействие Vampire bot может быть значительным:

• мониторинг активности пользователя и системы;
• эксфильтрация персональных и корпоративных данных;
• удалённое выполнение команд и развёртывание последующих модулей;
• обход и выявление средств защиты вследствие сбора списка security-продуктов.

Индикаторы компрометации (IoC)

• C2-домен: samsungcareers.work
• IP-адрес C2: 103.124.95.161
• активность, связанная с отправкой JSON-маяков с подробным профилированием хоста;
• нахождение процессов, создающих мьютекс явно в нестандартных местах;
• необычный исходящий трафик с измерением ping и периодическими пакетами на указанный домен/IP.

Рекомендации по защите

• обучение сотрудников распознаванию фишинговых сообщений и вредоносных документов;
• ограничение автоматического выполнения макросов и скриптов в офисных документах;
• внедрение и регулярное обновление EDR/AV с аналитикой сетевого поведения;
• мониторинг исходящего трафика и блокировка доступа к C2-доменам и подозрительным IP;
• сегментация сети и ограничение привилегий для пользователей и сервисов;
• регулярное резервное копирование критичных данных и тестирование восстановления.

Вывод

Многоэтапная цепочка заражения и профильный характер атак делают кампанию BatShadow серьёзной угрозой для специалистов в области цифровых технологий. В условиях средней уверенности атрибуции дальнейший обмен индикаторами и их анализ будут критичны для точного определения источника и оперативной нейтрализации угрозы. Организациям и частным специалистам рекомендуется повысить бдительность и внедрять многоуровневые меры защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.