Операция Capsule Vault: целевой фишинг и скрытый RokRAT

Операция Capsule Vault: многоступенчатый spear-phishing, маскировка под научные мероприятия и облачные C2-каналы

Исследователи кибербезопасности раскрыли сложную цепочку атак, получившую название Capsule Vault. Кампания отличается продуманной социальной инженерией: злоумышленники имитируют легитимные академические приглашения, чтобы обманом заставить жертв запустить вредоносные файлы. Главной целью является скрытая доставка трояна удалённого доступа RokRAT, обладающего широкими возможностями шпионажа и опирающегося на легитимные облачные платформы.

Вектор первоначального доступа: spear-phishing с двойным дном

Атака начинается с тщательно подготовленных spear-phishing писем. В них содержится ссылка на ISO-файл, размещённый на Dropbox и замаскированный под безобидный PDF-документ. Такой приём эксплуатирует доверие пользователей к облачным хранилищам и к самому формату «научной публикации». Внутри ISO-образа находится исполняемый файл, также выдающий себя за PDF-документ, что окончательно усыпляет бдительность жертвы и провоцирует запуск.

Техника уклонения: decoy-документ и внедрение в системные процессы

После запуска вредоносное ПО немедленно реализует тактику отвлечения: на экране отображается с виду безобидный документ, в то время как в фоновом режиме начинает разворачиваться атакующая цепочка. Параллельно шеллкод внедряется в легитимный процесс explorer.exe. Такой подход обеспечивает двойную функциональность: он снижает подозрения пользователя и серьёзно затрудняет обнаружение средствами защиты, поскольку вредоносная активность маскируется под доверенный системный процесс.

Полезная нагрузка EMBED_PAYLOAD_v2 и доставка RokRAT в памяти

Ключевым компонентом атаки выступает встроенная структура полезной нагрузки, классифицированная как EMBED_PAYLOAD_v2. Она эффективно контейнеризирует одновременно легитимный документ-приманку и само вредоносное ПО. При активации структура извлекает и выполняет полезную нагрузку RokRAT непосредственно в памяти, не оставляя на диске артефактов, характерных для традиционных троянов. Проанализированный вариант RokRAT генерирует уникальный идентификатор системы на основе данных SMBIOS, что позволяет злоумышленникам таргетировать конкретные устройства и управлять заражёнными узлами индивидуально.

Облачные каналы управления и модульные коммуникации

Для командного управления (C2) вредонос использует легитимные облачные сервисы — pCloud, Dropbox и Yandex Cloud. Это серьёзно усложняет блокировку трафика на периметре, поскольку обмен данными ведётся с доверенными платформами. Коммуникационная архитектура построена на RESTful API с раздельными каналами: один применяется для приёма команд, другой — для загрузки похищенных данных. Такая модульность повышает скрытность операции и её устойчивость к обнаружению. Полезная нагрузка передаётся в зашифрованном виде, а выполнение команд часто строится на fileless техниках, не оставляющих следов в файловой системе.

Индикаторы компрометации (IoCs) и уникальные маркеры операции

Набор индикаторов компрометации, связанных с Capsule Vault, включает ряд характерных артефактов. Среди наиболее значимых:

  • Hardcoded access tokens для Yandex Cloud, вшитые в тело вредоносной программы;
  • Специфичный command execution pattern, активно использующий fileless техники для бесфайлового выполнения команд в памяти;
  • Идентификаторы системы, формируемые на основе данных SMBIOS, как дополнительный механизм таргетирования;
  • Использование легитимных процессов, в первую очередь explorer.exe, для внедрения шеллкода и сокрытия активности.

Совокупность этих признаков позволяет выявлять активность даже в условиях, когда злоумышленники маскируют трафик под обычное взаимодействие с облачными хранилищами. Операция Capsule Vault наглядно демонстрирует эволюцию targeted-атак: ставка делается на доверие к знакомым платформам, многослойную обфускацию и полный отказ от классических вредоносных артефактов на диске.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: