СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
13.05.2025
#Dev#ИБ

Киберугроза Swan Vector: атака на Восточную Азию

Киберугроза Swan Vector: атака на Восточную Азию

Кампания Swan Vector, выявленная командой APT Seqrite Labs, представляет собой сложное и многоступенчатое злоумышленное воздействие на образовательные учреждения и финансово-промышленные предприятия в Восточной Азии, с особым акцентом на Тайвань и Японию. Способы внедрения вредоносных программ заслуживают внимания, так как они демонстрируют высокий уровень планирования и изощренности.

Как начинается атака?

Процесс заражения начинается с вредоносного ZIP-файла, который имеет название _20250413 (6).rar. Внутри него содержится файл формата .LNK, получивший название .pdf.lnk. Этот файл запускает распространение вредоносных программ следующим образом:

  • Запуск файла .LNK, который внедряет библиотеку DLL, известную как Pterois, с использованием утилиты rundll32.exe.
  • Pterois маскирует свою деятельность под безобидными именами файлов, связанными с поддельными трудовыми документами.

Второй этап: внедрение Isurus

После успешного запуска Pterois происходит переход ко второму этапу, который включает загрузку другого имплантата под названием Isurus. Данная библиотека DLL размещается рядом с законным двоичным файлом Windows PrintDialog.exe и выполняет следующие действия:

  • Использует методы дополнительной загрузки DLL.
  • Применяет шеллкод Cobalt Strike для повышения стойкости и скрытности в скомпрометированных системах.

Технический анализ угрозы

Подробный технический анализ показывает, что Pterois использует хеширование API для обфускации и применяет Google Drive в качестве инфраструктуры управления (C2). Выполняя хорошо организованные вызовы API, Pterois извлекает вредоносные исполняемые файлы и защищает свои каналы связи.

Другие ключевые аспекты работы Isurus включают:

  • Использование низкоуровневых системных вызовов для управления памятью.
  • Выполнение расшифрованного шелл-кода без использования высокоуровневых API Windows.

Выводы и рекомендации

Анализ показывает, что методика хакеров, использующая тактики дополнительной загрузки DLL, напоминает действия предыдущих APT-групп, таких как Winnti и Lazarus. В связи с этим эксперты предупреждают о возможном дальнейшем развитии связанных кампаний нацеленных на такие приложения, как Python и One Drive services, для распространения вредоносного ПО.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: