СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12 июня
#ИБ

Фишинг, AdaptixC2 и XWorm атаковали медицину через Active Directory

В середине мая 2026 года в среде Microsoft Active Directory, используемой в healthcare sector, была зафиксирована сложная атака, построенная на сочетании социальной инженерии, вредоносного ПО и инструментов удаленного доступа. По данным отчета, злоумышленники выстроили многоэтапную схему компрометации, в которой первичный доступ был получен не через технический exploit, а через тщательно подготовленное phishing-письмо, имитирующее SSA.

Инцидент наглядно показал, как современные кампании все чаще опираются на легитимные administrative tools и гибкую инфраструктуру C2, чтобы скрывать активность, обеспечивать persistence и усложнять атрибуцию.

Как начиналась атака

Первым звеном стало phishing-письмо со ссылкой на RAR archive, размещенный на взломанном WordPress-сайте. Внутри архива находился исполняемый файл PE32, замаскированный под PDF-документ с помощью техники RTLO (right-to-left override). Такой прием позволяет изменять визуальное восприятие имени файла и вводить пользователя в заблуждение относительно реального типа объекта.

Именно этот файл стал точкой входа в инфраструктуру жертвы. Отмечается, что первоначальная компрометация привела к доставке вредоносной DLL под именем jli.dll, размещенной в публичных documents пользователя.

Инструменты злоумышленников

В качестве основной инфраструктуры управления и контроля использовался AdaptixC2. Для расширения возможностей атакующие задействовали сразу несколько инструментов:

  • XWorm — для дополнительного удаленного доступа;
  • Telegram — для exfiltration;
  • два независимых экземпляра ScreenConnect — для интерактивного контроля;
  • Windows certutil — для загрузки компонентов AdaptixC2 с указанного URL.

По данным отчета, оператор использовал команду certutil для скачивания компонентов C2, после чего обеспечивалось закрепление и запуск дополнительных payload. Такой подход демонстрирует ставку не на единичный вредоносный файл, а на целую цепочку средств, работающих в связке.

Поведение C2 и признаки закрепления

В ходе инцидента было запущено несколько вариантов Staging AdaptixC2, которые демонстрировали beaconing на определенные IP-адреса по HTTPS. Характерный сетевой след проявлялся в HTTP POST-запросах к конечным точкам, включая /updates/check.php.

Отдельно подчеркивается, что проверка TLS позволила получить ценные сведения о трафике C2, включая реальные URL-адреса и маячки в открытом виде. Это значительно упростило анализ и способствовало эффективной атрибуции активности.

Разведка внутри домена

После закрепления злоумышленники перешли к внутренней разведке. Для картирования домена применялись SAMR и LSAD, что позволило собрать подробную информацию о:

  • пользователях домена;
  • группах;
  • trust relationships.

Подобные данные критически важны для дальнейшего lateral movement и выбора наиболее уязвимых точек внутри корпоративной среды.

Почему эта атака опасна

Эксперты отмечают, что данная кампания отражает адаптивную стратегию вторжения, в которой первичный доступ достигается за счет social engineering, а не сложных технических exploit. Использование RTLO для маскировки исполняемых файлов по-прежнему остается эффективной тактикой против невнимательных пользователей.

Дополнительную тревогу вызывает то, что некоторые payload имели недетектируемые хеши в VirusTotal. Это еще раз подчеркивает ограниченность традиционного подхода, основанного только на file hash reputation.

Этот случай подтверждает необходимость опираться на behavioral detection и network monitoring, а не только на статические признаки файлов.

Выводы

Инцидент в healthcare sector показывает, что современные кампании строятся вокруг сочетания phishing, легитимных администртивных инструментов и многоуровневой C2-инфраструктуры. Использование AdaptixC2, XWorm, ScreenConnect и Telegram делает такую активность особенно устойчивой и труднообнаруживаемой.

Главный урок из этого отчета заключается в необходимости постоянного мониторинга:

  • legitimate tools, применяемых в malicious campaigns;
  • попыток закрепления в системе;
  • C2-behavior, связанного с известными malware families;
  • сетевого трафика, включая TLS-аномалии и повторяющиеся beacon patterns.

Иными словами, защита в подобных сценариях должна строиться на сочетании поведенческой аналитики, контроля сетевой активности и строгого отношения к любым вложениям и ссылкам, особенно если они маскируются под официальные сообщения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: