СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
01.04.2025
#Dev#ИБ#Инфра

Операция «HollowQuill»: Вредоносный удар по БГТУ

Операция 171HollowQuill187: Вредоносный удар по БГТУ

Операция «HollowQuill» представляет собой высокотехнологичную вредоносную кампанию, нацеленную на Балтийский государственный технический университет (БГТУ). В ходе данной атаки хакеры используют поддельные документы для проникновения в сети, связанные с академическим и оборонным секторами в России. Суть этой операции кроется в изощренных методах выполнения атаки, которые нацелены на сбор конфиденциальной информации.

Структура атаки

Начало атаки происходит с вредоносного RAR-файла, который включает в себя .NET-дроппер и поддельный PDF-документ. Основные этапы операции выглядят следующим образом:

  • RAR-файл замаскирован под законное сообщение о финансируемых государством исследованиях.
  • Содержит исполняемый файл .NET, который разворачивает загрузчик шеллкода на основе Golang.
  • Загрузчик скрывает свои намерения, используя легитимный исполняемый файл OneDrive.
  • После запуска .NET-дроппер создает ярлык в папке автозагрузки Windows, чтобы обеспечить автоматический запуск при загрузке системы.

Методы внедрения и противодействия анализу

Обнаруживаются высокоуровневые методы внедрения, используемые в данной кампании:

  • Использование метода внедрения APC для записи шелл-кода в легитимный процесс OneDrive.
  • Применение антианализа, включая проверку времени.
  • Шелл-код функционирует как маяк Cobalt Strike, подключаясь к серверу управления (C2).

Инфраструктура и обнаружение

Злоумышленники используют продуманную ротацию доменов для своей инфраструктуры C2. Это позволяет им постоянно менять домены, сохраняя при этом одинаковое HTTP-название в нескольких экземплярах, что делает их обнаружение крайне сложным. К ключевым артефактам, оставленным хакером, относится:

  • Идентификатор Go-build ID, который помогает отслеживать аналогичную полезную нагрузку в других кампаниях.

Заключение

Операция «HollowQuill» демонстрирует хорошо скоординированные усилия злоумышленников, направленные на достижение конкретных важных целей. Она подчеркивает растущую угрозу кибербезопасности для организаций, занимающихся критически важными исследованиями и технологическими разработками. Хакеры все чаще используют изощренные методы для проникновения в сети и получения плацдармов для дальнейшей эксплуатации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: