СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:24
#ИБ

HumanitarianBait: шпионская кампания через фишинг и LNK-файлы

Operation HumanitarianBait — это сложная campaign кибершпионажа, нацеленная преимущественно на русскоязычных individuals и organizations. Злоумышленники используют social engineering, чтобы получить доступ к системам жертв, а затем разворачивают многоэтапную цепочку заражения, рассчитанную на скрытность, закрепление в системе и длительный сбор данных.

Фишинг начинается с RAR-архива и LNK-файла

Атака стартует с фишинговых писем, в которых содержится вредоносный LNK-file, спрятанный внутри RAR-архива. В сообщении используется тема запроса гуманитарной помощи, что помогает эксплуатировать contextual trust — доверие к теме и контексту переписки.

После того как жертва открывает файл, запускается скрытый многоэтапный процесс заражения. На экране при этом может отображаться поддельный документ, якобы связанный с humanitarian aid, что отвлекает внимание и маскирует реальную активность вредоносного кода.

Python-based malware и загрузка компонентов с GitHub Releases

В основе атаки лежит сильно обфусцированный fileless malicious module на базе Python. Он загружает дополнительные компоненты из GitHub Releases, тем самым маскируя вредоносную активность под legitimate traffic и усложняя обнаружение.

Использование self-contained Python environment, размещенной на GitHub, указывает на высокий уровень технической подготовки злоумышленников. Такая архитектура позволяет быстро обновлять компоненты, повышать устойчивость кампании и снижать риск блокировки отдельных частей цепочки заражения.

Закрепление, обфускация и обход средств обнаружения

Для закрепления в системе модуль создает scheduled tasks, обеспечивая повторный запуск после перезагрузок. Одна из задач выполняется каждые пять минут, что делает присутствие вредоносного кода устойчивым и постоянным.

Файл LNK, используемый в кампании, содержит self-obfuscated content, который исполняется через PowerShell. Это сделано намеренно — для обхода automatic detection и затруднения анализа.

Дополнительно вредоносное ПО применяет anti-sandbox techniques, проверяя наличие определенных файлов на диске. Такая логика помогает ему избегать запуска в анализирующих средах и повышает вероятность успешного проникновения в реальную систему.

Полезная нагрузка защищена с помощью PyArmor — commercial obfuscation tool, существенно усложняющего static analysis и reverse engineering.

Какие данные собирает вредоносное ПО

Встроенный модуль работает как комплексный surveillance tool. Он собирает и передает злоумышленникам широкий спектр конфиденциальной информации, включая:

  • учетные записи и credentials;
  • keystrokes, то есть нажатия клавиш;
  • данные из clipboard в real time;
  • пароли и session cookies из различных web browsers;
  • файлы из пользовательских каталогов, включая важные documents и configuration files.

Кроме того, вредоносная программа обеспечивает remote access через такие applications, как RustDesk и AnyDesk. Это расширяет возможности злоумышленников по наблюдению, управлению системой и дальнейшей эксфильтрации данных.

Экcфильтрация через HTTP и C2-инфраструктуру

Собранные данные загружаются на C2-server, который в настоящее время размещен на commercial VPS. Для передачи информации используются протоколы HTTP, что затрудняет для средств network monitoring различие между legitimate и malicious traffic.

Такой подход снижает вероятность обнаружения и позволяет злоумышленникам дольше сохранять доступ к скомпрометированным системам.

Что говорит кампания о целях злоумышленников

Хотя точная личность атакующих остается неизвестной, набор техник, примененных в Operation HumanitarianBait, указывает на целенаправленный шпионаж. Вероятной целью является сбор intelligence о politically significant individuals или organizations, связанных с humanitarian efforts в русскоязычных регионах.

Сочетание фишинга, обфускации, fileless execution, persistence mechanisms и скрытой эксфильтрации делает эту кампанию особенно опасной. Она демонстрирует не только техническую зрелость злоумышленников, но и их способность адаптировать инструменты под конкретный контекст и доверие потенциальных жертв.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: