СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.12.2025
#ИБ

JSCEAL: эволюция PowerShell-стиллера и новая C2‑инфраструктура

JSCEAL — это продвинутый стиллер информации, ориентированный на пользователей криптовалютных приложений, который значительно эволюционировал со времени своей первоначальной кампании в первой половине 2025 года. В августе 2025 операторы провели заметную перестройку командно‑контрольной (C2) инфраструктуры, сделав ставку на более масштабируемую и менее заметную модель развертывания.

Как менялась инфраструктура

На раннем этапе кампании злоумышленники использовали C2‑доменную модель с многословными именами, разделёнными дефисами, преимущественно в зоне .com. Такая структура позволяла размещать множество поддоменов и строить универсальную инфраструктуру для распространения и управления стиллером.

В августе 2025 операторы перешли на одинарные доменные имена (пример: emberstolight.com) и расширили набор используемых TLD — .org, .link, .net и др. Регистрация велаcь системно, с упором на быстрое масштабирование и унификацию шаблонов доменов.

Каждый новый домен C2 имеет единообразную структуру поддоменов: в цепочке консистентно присутствуют поддомены faro и api. Иными словами, типичные FQDN выглядят как faro.emberstolight.com и api.emberstolight.com. Такая стандартизация указывает на продуманный, предсказуемый метод развертывания, который аналитики наблюдают по всей новой кампании.

Меры контроля доступа и приёмы скрытности

Обновлённая инфраструктура включает строгие механизмы фильтрации HTTP‑запросов: любые запросы без пользовательского агента PowerShell получают ответ HTTP 404. Эта тактика эффективно блокирует доступ из обычных веб‑браузеров и многих изолированных сред, используемых исследователями и автоматизированными сканерами, что значительно повышает скрытность операций JSCEAL и затрудняет обнаружение.

Ключевые признаки поведения кампании:

  • систематическая регистрация однословных доменов с разнообразными TLD;
  • единобразная структура поддоменов — faro и api для каждого домена;
  • фильтрация по User‑Agent: допускается только PowerShell User‑Agent, остальные получают 404;
  • постоянное использование PowerShell как канала связи с серверами C2;
  • частые подключения к жестко запрограммированным доменам (hardcoded domains).

Технические изменения в загрузчике и артефакты

Во время перехода на новую инфраструктуру аналитики зафиксировали существенный рефакторинг PowerShell‑загрузчика и улучшенную упаковку — build.zip package. Несмотря на отсутствие «громких» эксплойтов или использования zero‑day, кампания оставляет ряд воспроизводимых индикаторов компрометации, которые могут помочь в детектировании и нейтрализации.

Выводы и рекомендации для защиты

Кампания августа 2025 представляет собой тщательно продуманную эволюцию оперативной тактики JSCEAL, с акцентом на скрытность и устойчивость. Операторы используют легитимно выглядящую инфраструктуру и маскируют злоумышленную активность в рамках типичных схем трафика PowerShell. Это создаёт дополнительные сложности для средств обнаружения и реагирования.

Практические рекомендации для команд безопасности:

  • мониторить DNS‑запросы на появление однословных доменов с нетипичными TLD и искать повторяющиеся паттерны регистрации;
  • ищущий механизм для обнаружения последовательности поддоменов faro и api в сочетании с новыми доменами;
  • логировать и анализировать HTTP User‑Agent в исходящем трафике — подозрительные паттерны PowerShell UA в сочетании с частыми 404‑ответами могут указывать на попытки обхода;
  • блокировать или применять sinkhole к жестко запрограммированным доменам и оперативно обновлять блок‑листы;
  • усилить контроль за выполнением PowerShell на эндпойнтах: ограничить запуск скриптов, применять Constrained Language Mode и включить AMSI/EDR‑мониторинг для скриптов;
  • анализировать содержимое архивов, таких как build.zip, в контролируемой песочнице для обнаружения модулей загрузчика;
  • использовать egress‑фильтрацию и DNS‑политику для снижения риска успешной связи с C2.

«Кампания августа 2025 — это тщательно продуманная эволюция оперативной тактики JSCEAL с акцентом на скрытность и устойчивость,» — констатируют аналитики.

JSCEAL демонстрирует, как современные стиллеры могут сочетать мягкие, легитимно выглядящие механизмы с продуманной инфраструктурой, затрудняющей автоматическое обнаружение. Команды безопасности должны адаптировать мониторинг и контрмеры к таким тонко ориентированным изменениям в поведении атакующих.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: