Эволюция атак APT-C-06: фишинг с опасным вредоносным сертификатом

APT-C-06 усиливает атаки: новая фишинговая кампания с усовершенствованными методами обхода защиты

В феврале 2025 года группа APT-C-06 вновь проявила активность, запустив масштабную фишинговую кампанию, свидетельствующую о возрастании уровня сложности и изощрённости используемых ими методов. В центре атаки оказался файл-приманка с именем (2025).zip, содержащий вредоносный установочный пакет сертификата cert.msi. Анализ кампании показывает, что злоумышленники продолжают целенаправленную тактику, оттачивая свои инструменты и техники обхода систем безопасности.

Механизм атаки: от фишинга к сложному исполнению вредоносного кода

При запуске пакета cert.msi на целевой машине происходит активация сложного сценария компрометации, включающего следующие этапы:

• установка запланированной задачи, выполняющей команды через PowerShell для загрузки и запуска дополнительных полезных нагрузок;
• внедрение шелл-кода в системный процесс dllhost.exe, что обеспечивает маскировку вредоносных действий;
• расшифровка конфигурационных данных и дальнейшая загрузка компонентов вредоносной программы;
• модульная обработка данных, позволяющая динамично создавать задачи, записывать файлы и управлять процессами на заражённом устройстве.

Такой многоступенчатый и модульный подход показывает существенный прогресс по сравнению с предыдущими атаками APT-C-06, когда использовались более простые методы, основанные преимущественно на эксплоите известных уязвимостей для первоначального доступа.

Исторический контекст и целенаправленность

Данная кампания является эволюционным развитием стратегии группы — в начале 2024 года APT-C-06 уже применяли похожую технику с корейским установочным пакетом, направленным на участников торговли с Северной Кореей. Это подчёркивает преемственность целей и тактик коллектива, а также способность адаптироваться и совершенствовать методы атаки.

Применение метода BYOVD для повышения привилегий

Особое внимание заслуживает использование техники BYOVD (Bring Your Own Vulnerable Driver), которая позволяет повысить привилегии вредоносного кода и одновременно нейтрализовать механизмы защиты. В данном случае злоумышленники применили уязвимые драйверы, связанные с антивирусами Zemana и Adlice, отправляя на них специальные IOCTL-коды (коды управления вводом-выводом). Это обеспечило:

• завершение работы защитных процессов;
• отключение функций безопасности;
• установку для Microsoft Defender поведения “Игнорировать” различных уровней угроз;
• выведение из строя критически важных сервисов Windows Defender.

В результате вредоносная программа значительно снижает эффективность встроенных средств защиты, что делает заражённую систему уязвимой для дальнейшего внедрения и эксплуатации.

Рост сложности и адаптивность стратегии APT-C-06

Новые методы APT-C-06 не только демонстрируют использование передовых криптографических техник, но и подчёркивают растущую сложность их операционного подхода. Интеграция динамического управления процессами и скрытая манипуляция системными службами свидетельствуют о высокой квалификации атакующих и способности группировать разные техники для достижения максимального эффекта.

Таким образом, описанная кампания — это явный пример эволюции угроз, с которыми сталкиваются современные организации, и необходимости постоянного обновления методов защиты и мониторинга безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.