СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
31.07.2025
#ИБ#Облака

Новейшие методы атаки GOLD BLADE: интеграция LNK и WebDAV в RedLoader

Новейшие методы атаки GOLD BLADE: интеграция LNK и WebDAV в RedLoader

Источник: news.sophos.com

Группировка GOLD BLADE обновила цепочку атак с использованием LNK и WebDAV для распространения RedLoader

В июле 2025 года киберпреступная группировка GOLD BLADE значительно усовершенствовала свои методы атаки, интегрировав вредоносные файлы LNK с ранее известным методом WebDAV. Эти изменения позволили эффективно устанавливать связь командования и контроля (C2) для пользовательского вредоносного ПО RedLoader.

Новая цепочка заражения

Атака начинается с развертывания файла LNK, замаскированного под документ PDF. При запуске этого файла активируется процесс conhost.exe, который использует протокол WebDAV для подключения к домену CloudFlare. В инфраструктуре злоумышленников размещён вредоносный исполняемый файл — переименованная и подписанная версия легитимного Adobe ADNotificationManager.exe, замаскированная под резюме.

Этот исполняемый файл расположен рядом с полезной нагрузкой RedLoader первого этапа — netutils.dll. При запуске переименованный ADNotificationManager.exe загружает вредоносную DLL, таким образом инициализируя цепочку заражений.

Механизм дальнейшего распространения и удержания доступа

  • Полезная нагрузка первого этапа создает запланированную задачу в системе жертвы.
  • Одновременно загружается отдельный исполняемый файл для второго этапа заражения.
  • Запланированная задача с именем BrowserQEBrowserQE_Имя компьютера в Base64 использует процессы PCALua.exe и conhost.exe для запуска RedLoader второго этапа.
  • Полезная нагрузка второго этапа представлена файлом BrowserQE_Имя компьютера в Base64.exe, у которого уникальное имя для каждой жертвы, однако хэш SHA256 остается неизменным во всех экземплярах.
  • Этот исполняемый файл устанавливает устойчивую связь C2, позволяя злоумышленникам поддерживать контроль над заражёнными системами.

Заключение

Данная эволюция в методологии атак GOLD BLADE, сочетающая уже известные технические приёмы с новыми способами исполнения, демонстрирует адаптивность и высокую эффективность группировки в проведении киберопераций. Использование файлов LNK в сочетании с инфраструктурой WebDAV и поддельными легитимными приложениями открывает новые возможности для обхода средств защиты и управления заражёнными системами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: