СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
21.04.2025
#ИБ#Инфра#Облака

Новый киберугрозы: тайваньский LNK-файл как бэкдор

Новый киберугрозы: тайваньский LNK-файл как бэкдор

18 апреля 2025 года был зафиксирован случай, который вызывает серьёзные опасения в области кибербезопасности. Обнаружение подозрительного LNK-файла с именем 2025416-1-.pdf.lnk, отправленного из Тайваня, стало причиной для беспокойства экспертов. Файл работает как curl-загрузчик, предназначенный для загрузки вредоносного исполняемого файла второго уровня.

Описание угрозы

Запускаемый файл, известный как setup.exe, скачивается с ресурса mail.9kyd.com/skins и помещается в каталог C:UsersPublicDownloads. Этот установщик был ранее связан с образцами Gh0stRAT, которые, как правило, таргетируют пользователей, говорящих на китайском языке.

Технические аспекты

Созданный с помощью Indigo Rose Software Setup Factory, установщик использует Lua-скрипты для управления процессом установки. После завершения установки оно размещает файлы в папке C:Users%USER%AppDataRoamingAcrobatReader. Среди этих файлов:

  • среда выполнения Python,
  • обманчивый PDF-файл с именем document.pdf, который не поддается чтению.

Кроме того, одновременно запускается скрипт на Python, известный как setup.py. Этот скрипт функционирует как бэкдор, использующий инфраструктуру сотрудников Cloudflare для операций командования и контроля (C2).

Работа бэкдора

Бэкдор работает в цикле, периодически вызывая поток, который выполняет функцию mythread() для связи с сервером C2, расположенным по адресу eip.netask.workers.dev. Он проверяет, являются ли ответы от сервера сжатыми в формате GZIP и, при положительном ответе, распаковывает их и переводит в кодировку UTF-8.

Когда ответ со стороны сервера превышает два символа, скрипт base64 повторно декодирует его, чтобы выполнить полезную нагрузку, игнорируя начальные два символа. Первая полезная нагрузка представляет собой скрипт на Python, который создает Visual Basic скрипт с именем start.vbs:

  • Скрипт отслеживает активные процессы. Если запущен python.exe, он завершает работу без действия.
  • Если python.exe не найден, он повторно активирует бэкдор setup.py.

Обеспечение устойчивости

Кроме того, данный подход включает в себя установку запланированной задачи с именем TaskMachineCore, которая настроена на выполнение скрипта start.vbs каждые 10 минут. Вторая полезная нагрузка изменяет продолжительность ожидания бэкдора, увеличивая паузу по умолчанию с 60 до 3600 секунд (один час). Это указывает на сложный метод обеспечения устойчивости и эффективного управления скомпрометированной системой.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: