СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
05.10.2025
#ИБ#ИИ#Инфра

Confucius: эволюция фишинга, LNK и бэкдоров (2024–2025)

Confucius: эволюция фишинга, LNK и бэкдоров (20242025)

Хакерская группировка Confucius, связанная с государством, продемонстрировала заметную эволюцию своих методов работы: от использования простого вредоносного ПО для кражи документов — к внедрению сложных бэкдорных решений и многоуровневых схем доставки. Это изменение говорит о росте технической гибкости и стремлении избежать обнаружения при одновременном повышении оперативной эффективности.

Краткий обзор кампаний

  • Декабрь 2024: начало фишинговой кампании в Пакистане с вложениями, замаскированными под PowerPoint (Document.ppsx), использовавшими социальную инженерию: подмена полномочий и тонкие призывы к действию для вынуждения открыть файл.
  • Март 2025: внедрение вредоносных LNK-файлов; пример — Invoice_Jan25.pdf.lnk, который запускал легитимный Windows-файл BlueAle.exe, модифицированный из исходного системного файла C:WindowsSystem32fixmapi.exe. Метод включал дальнейшую загрузку вредоносной DLL и поддельной PDF-формы с удалённого сервера.
  • Август 2025: появление нового LNK-файла (NLC.pdf.lnk) с похожим сценарием исполнения, но новой, более сложной полезной нагрузкой; анализ расшифрованной команды показал возросшую сложность архитектуры.

Методы доставки и исполнения

На протяжении описанного периода Confucius комбинировала разнообразные техники для первоначального доступа и удержания в сети жертвы. Среди используемых механизмов:

  • фишинг с вложениями в формате PowerPoint (Document.ppsx);
  • LNK‑файлы как средство триггера запуска цепочки исполнения (Invoice_Jan25.pdf.lnk, NLC.pdf.lnk);
  • запуск легитимных системных бинарей, модифицированных для загрузки дополнительных компонентов (BlueAle.exe из C:WindowsSystem32fixmapi.exe);
  • загрузка вредоносных DLL и поддельных документов с удалённых серверов;
  • использование OLE-объектов и вредоносных скриптов внутри документов;
  • загрузчики на базе PowerShell и MSIL;
  • запутанные и многоуровневые полезные нагрузки, включая варианты на Python.

Эволюция используемых семейств вредоносного ПО

В ходе наблюдений Confucius меняла не только вектор доставки, но и сами семейства вредоносного ПО. В арсенале атакующих фиксировались:

  • WooperStealer — инструмент для кражи данных;
  • AnonDoor — бэкдор на основе MSIL;
  • новые вариан Figuradaции на Python, появившиеся в поздних вариантах кампаний.

Такая смена семейств указывает на _адаптивность_ и готовность группировки комбинировать разные технологии для достижения целей кибершпионажа.

Техническая оценка и характер угрозы

Анализ показал, что Confucius перешла от простой кражи документов к устойчивым, скрытым моделям проникновения и удержания. Характерные черты кампаний:

  • многоуровневые цепочки исполнения, снижающие вероятность обнаружения;
  • использование легитимных системных бинарей в роли «провокации» для запуска вредоносного кода;
  • комбинация скриптовых загрузчиков (PowerShell), MSIL‑загрузчиков и нативных библиотек (DLL);
  • социальная инженерия как основной инструмент первичного вовлечения жертвы.

«Многоуровневый подход к развертыванию вредоносного ПО» — именно так можно охарактеризовать эволюцию тактик Confucius.

Последствия и рекомендации

Повышение сложности операций Confucius требует от организаций усиления многоуровневых мер защиты и оперативного мониторинга признаков компрометации. В частности следует обратить внимание на:

  • повышенную бдительность при работе с вложениями (.ppsx, .lnk и т.д.);
  • контроль целостности системных бинарей и проверку необычных запусков из Windows System32;
  • логирование и анализ сетевого трафика на предмет загрузок DLL и подозрительных обращений к внешним серверам;
  • ограничение исполнения скриптов (PowerShell) и внедрение политик Application Control;
  • обучение сотрудников методам распознавания фишинговых писем и социальных инженерных приёмов.

Вывод

Группировка Confucius демонстрирует устойчивую эволюцию от инструментов кражи документов к сложным, многоуровневым бэкдорам и гибридным цепочкам доставки. Их способности комбинировать OLE-объекты, LNK-файлы, PowerShell, MSIL и различные полезные нагрузки (включая Python‑варианты) делают их угрозой, требующей координированного и технически грамотного ответа со стороны организаций и команд по кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: