Хакеры маскируются под ВОЕНМЕХ и атакуют российские предприятия

Исследователи из отдела Threat Intelligence компании F6 обнародовали данные о новой волне кибервторжений, нацеленной на промышленные компании России. По их сведениям, злоумышленники в этой операции использовали фальшивый документ, стилизованный под официальную корреспонденцию от имени Балтийского государственного технического университета «ВОЕНМЕХ». Эта попытка маскировки привлекла внимание специалистов, поскольку напоминала другую активность, ранее уже зафиксированную экспертами.

Ещё в декабре 2024 года специалисты из Positive Technologies зафиксировали подозрительное поведение, схожее с тем, что наблюдается в рамках новой кампании. Спустя несколько месяцев команда F6 провела углублённый анализ и нашла множество технических совпадений между недавними атаками и деятельностью группировки FakeTicketer, известной в среде специалистов по информационной безопасности.

Как сообщили в F6, подозреваемая группа действует, по крайней мере, с июня 2024 года. Её цели разнообразны — от производственных компаний и государственных структур до представителей спортивной сферы. Эксперты подчёркивают, что анализ заражённого программного обеспечения выявил множество общих черт между операцией HollowQuill и инструментами, которыми пользуется FakeTicketer.

В частности, внимание специалистов привлекли два дроппера — LazyOneLoader и Zagrebator.Dropper. Оба написаны на языке C#. У них обнаружены одинаковые имена иконок — «faylyk», а также схожий способ хранения данных. Всё содержимое помещается в ресурсы самой программы и извлекается с применением одного и того же класса — BinaryWrite. Код, отвечающий за создание ярлыков, оказался почти идентичным. Хакеры используют имена OneDrive*.exe и OneDrive*.lnk, чтобы маскировать свои действия и затруднить обнаружение.

Кроме технических деталей, сотрудники F6 проанализировали и доменную инфраструктуру. Они выявили, что члены FakeTicketer регистрировали ресурсы, в которых использовались одинаковые регистрационные данные. Один из таких доменов — phpsymfony[.]info — ранее ассоциировался с этой группировкой. В ходе расследования стало известно, что в рамках HollowQuill использовался почти идентичный домен — phpsymfony[.]com. Он функционировал как сервер управления и взаимодействия Cobalt Strike — популярного инструмента среди кибершпионов.