EtherHiding и PowerShell: многоэтапная атака на гостиничный сектор
Эксклюзивный разбор от эксперта по кибербезопасности. Расследование команды LevelBlue Managed Threat Research вскрыло изощрённую кампанию, ориентированную на гостиничный сектор. Злоумышленники объединили фишинг, обфускацию PowerShell и децентрализованные механизмы получения командных серверов, чтобы оставаться незамеченными как можно дольше.
Атака стартует с безобидного на первый взгляд письма, а заканчивается полноценным бэкдором, способным гибко менять свою инфраструктуру. Её главная особенность — отказ от классических жёстко прописанных C2-адресов в пользу технологии EtherHiding, завязанной на блокчейн TON. Ниже — поэтапная реконструкция угрозы и анализ каждого из её слоёв.
Фишинговая точка входа: когда ярлык притворяется картинкой
Первым звеном атаки служит целевое фишинговое письмо, содержащее ZIP-архив. Внутри архива находится файл ярлыка Windows (.lnk), искусно маскирующийся под графическое изображение. Для этого злоумышленники подменяют иконку, заимствуя её из легитимной библиотеки shell32.dll. Жертва, рассчитывая открыть картинку, запускает ярлык и тем самым активирует цепочку вредоносных действий.
PowerShell как дирижёр: обфускация и развёртывание Node.js
При выполнении LNK-файла в дело вступает тщательно обфусцированная команда PowerShell. Её задача — восстановить скрытый URL управляющего сервера. Для этого применяется нетривиальный приём: манипуляции с большими целыми числами и побайтовое извлечение данных, что серьёзно затрудняет статический анализ.
Скрипт действует расчётливо и проверяет среду жертвы:
- если Node.js на машине отсутствует, вредоносный код самостоятельно загружает и устанавливает легитимный пакет Node.js;
- после гарантированного появления платформы запускается обфусцированный JavaScript-бэкдор.
Таким образом, атакующие не просто эксплуатируют готовую среду, но и аккуратно доставляют необходимые зависимости, маскируя свои действия под установку привычного разработчикам инструмента.
Бэкдор на пользовательском байт-коде и защита от дублирования
Ключевое звено вредоносной программы — интерпретатор виртуальной машины, работающий с собственным байт-кодом. Вместо прямого выполнения JavaScript-инструкций бэкдор интерпретирует байт-код, что резко усложняет его детектирование традиционными средствами анализа скриптов.
Среди вспомогательных, но продуманных механизмов:
- проверка наличия процессов node.exe для предотвращения запуска нескольких экземпляров бэкдора одновременно;
- закрепление в системе через создание ключа реестра, обеспечивающего автозагрузку при входе пользователя;
- проверка интернет-соединения путём HTTPS-запросов — вредонос убеждается в доступности сети перед установкой связи с управляющим сервером.
EtherHiding и блокчейн TON: динамический C2 без правки кода
Наиболее примечательная черта кампании — применение метода EtherHiding для получения URL командного центра через блокчейн TON. Вместо того чтобы хранить адрес внутри вредоносного файла, злоумышленники извлекают его из транзакций в блокчейне. Это даёт им следующие преимущества:
- возможность оперативно обновлять C2-адреса, не модифицируя само вредоносное ПО;
- высокую устойчивость к блокировкам доменов и изъятию серверов;
- дополнительный уровень уклонения от анализа, так как связка «вредонос — блокчейн» выглядит нетипично для защитных решений.
Фактически инфраструктура атаки становится динамической и адаптивной, подстраиваясь под действия защитников в реальном времени.
Защищённый канал и проверка подписи: ставка на скрытность
Связь между заражённой машиной и сервером C2 устанавливается через WebSocket с обязательным обменом ключами по протоколу ECDH. Такое шифрование делает перехват трафика крайне затруднительным. Дополнительно вредонос проверяет наличие действительной PE-подписи у загружаемых исполняемых файлов — вероятно, чтобы избежать подмены на этапе получения полезной нагрузки.
Исследователи отмечают, что атакующая инфраструктура выглядит надёжной: C2-серверы размещены за Cloudflare, а связка с блокчейном TON обеспечивает устойчивость к традиционным контрмерам.
Непрерывная кампания и эволюция тактик
По данным LevelBlue, кампания остаётся активной. Последние образцы демонстрируют одинаковый MachineID, что указывает на стремление злоумышленников поддерживать постоянство операций и сохранять контроль над скомпрометированными системами. Специалисты подчёркивают, что подобное сочетание методов свидетельствует о значительном сдвиге в арсенале кибергруппировок.
«Данная кампания демонстрирует значительную эволюцию тактик вредоносного ПО, объединяя различные методы для уклонения от обнаружения и обеспечения долгосрочности операций», — прокомментировали в команде LevelBlue Managed Threat Research.
Многослойная стратегия — от безобидного LNK-файла с чужой иконкой до интерпретатора байт-кода и децентрализованного управления — показывает, что индустрия гостеприимства столкнулась с противником, который умеет грамотно использовать легитимные инструменты и новейшие Web3-технологии для своих целей. Организациям из сектора рекомендуется усилить контроль за почтовыми вложениями, ограничить выполнение скриптов из неподписанных ярлыков и мониторить аномальную сетевую активность, связанную с WebSocket-соединениями и взаимодействием с блокчейн-узлами.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



