Операция Capsule Vault: целевой фишинг и скрытый RokRAT
Операция Capsule Vault: многоступенчатый spear-phishing, маскировка под научные мероприятия и облачные C2-каналы
Исследователи кибербезопасности раскрыли сложную цепочку атак, получившую название Capsule Vault. Кампания отличается продуманной социальной инженерией: злоумышленники имитируют легитимные академические приглашения, чтобы обманом заставить жертв запустить вредоносные файлы. Главной целью является скрытая доставка трояна удалённого доступа RokRAT, обладающего широкими возможностями шпионажа и опирающегося на легитимные облачные платформы.
Вектор первоначального доступа: spear-phishing с двойным дном
Атака начинается с тщательно подготовленных spear-phishing писем. В них содержится ссылка на ISO-файл, размещённый на Dropbox и замаскированный под безобидный PDF-документ. Такой приём эксплуатирует доверие пользователей к облачным хранилищам и к самому формату «научной публикации». Внутри ISO-образа находится исполняемый файл, также выдающий себя за PDF-документ, что окончательно усыпляет бдительность жертвы и провоцирует запуск.
Техника уклонения: decoy-документ и внедрение в системные процессы
После запуска вредоносное ПО немедленно реализует тактику отвлечения: на экране отображается с виду безобидный документ, в то время как в фоновом режиме начинает разворачиваться атакующая цепочка. Параллельно шеллкод внедряется в легитимный процесс explorer.exe. Такой подход обеспечивает двойную функциональность: он снижает подозрения пользователя и серьёзно затрудняет обнаружение средствами защиты, поскольку вредоносная активность маскируется под доверенный системный процесс.
Полезная нагрузка EMBED_PAYLOAD_v2 и доставка RokRAT в памяти
Ключевым компонентом атаки выступает встроенная структура полезной нагрузки, классифицированная как EMBED_PAYLOAD_v2. Она эффективно контейнеризирует одновременно легитимный документ-приманку и само вредоносное ПО. При активации структура извлекает и выполняет полезную нагрузку RokRAT непосредственно в памяти, не оставляя на диске артефактов, характерных для традиционных троянов. Проанализированный вариант RokRAT генерирует уникальный идентификатор системы на основе данных SMBIOS, что позволяет злоумышленникам таргетировать конкретные устройства и управлять заражёнными узлами индивидуально.
Облачные каналы управления и модульные коммуникации
Для командного управления (C2) вредонос использует легитимные облачные сервисы — pCloud, Dropbox и Yandex Cloud. Это серьёзно усложняет блокировку трафика на периметре, поскольку обмен данными ведётся с доверенными платформами. Коммуникационная архитектура построена на RESTful API с раздельными каналами: один применяется для приёма команд, другой — для загрузки похищенных данных. Такая модульность повышает скрытность операции и её устойчивость к обнаружению. Полезная нагрузка передаётся в зашифрованном виде, а выполнение команд часто строится на fileless техниках, не оставляющих следов в файловой системе.
Индикаторы компрометации (IoCs) и уникальные маркеры операции
Набор индикаторов компрометации, связанных с Capsule Vault, включает ряд характерных артефактов. Среди наиболее значимых:
- Hardcoded access tokens для Yandex Cloud, вшитые в тело вредоносной программы;
- Специфичный command execution pattern, активно использующий fileless техники для бесфайлового выполнения команд в памяти;
- Идентификаторы системы, формируемые на основе данных SMBIOS, как дополнительный механизм таргетирования;
- Использование легитимных процессов, в первую очередь explorer.exe, для внедрения шеллкода и сокрытия активности.
Совокупность этих признаков позволяет выявлять активность даже в условиях, когда злоумышленники маскируют трафик под обычное взаимодействие с облачными хранилищами. Операция Capsule Vault наглядно демонстрирует эволюцию targeted-атак: ставка делается на доверие к знакомым платформам, многослойную обфускацию и полный отказ от классических вредоносных артефактов на диске.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



