СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
22.12.2025
#ИБ

Paper Werewolf использует XLL‑файлы для бэкдора EchoGather

Кратко: исследователи зафиксировали кампанию, в которой злоумышленники из группы Paper Werewolf применяют вредоносные Excel XLL-файлы как вектор доставки бэкдора EchoGather. Новый способ реализации позволяет скрытно запускать полезную нагрузку и обеспечивает расширенные возможности для системной разведки и эксфильтрации данных.

Как работает вредоносный XLL

Вредоносный XLL-файл, при запуске пользователем, инициирует работу Excel и загружает встроенную библиотеку DLL, которая выполняет заданные злоумышленниками функции. Важно, что в отличие от легитимных add-ins XLL, этот вариант использует функцию dllmain вместо стандартных точек входа, таких как xlAutoOpen. Активация полезной нагрузки привязана к завершению потоков в Excel, что обеспечивает скрытное и труднообнаружимое исполнение.

Функциональные возможности EchoGather

Бэкдор EchoGather специально разработан для сбора разведданных и связи с сервером управления (C2). Основные особенности поведения и возможностей бэкдора:

  • Все исходящие сообщения кодируются в Base64 для транспортировки.
  • Команды бэкдора привязаны к уникальному идентификатору запроса, что позволяет корректно управлять передачей данных, разбиваемых на несколько пакетов.
  • Для распаковки/шифрования команд используется жестко закодированный ключ XOR, а сам шаблон исполнения предполагает выполнение команд через cmd.exe, при этом вывод команд возвращается на C2 вместе с соответствующим идентификатором запроса.
  • Поддерживаемые функции: удалённое выполнение команд, отправка конфигурационных данных обратно на C2, эксфильтрация файлов и удалённая запись файлов на целевой системе.

Механизм эксфильтрации и восстановления файлов

EchoGather управляет пересылкой файлов, разбивая их на фрагменты контролируемого размера. Для каждого фрагмента отправляется заголовок с метаданными, что позволяет корректно собрать файл на стороне получателя. Аналогично, функция удалённой записи принимает входящие фрагменты и восстанавливает файлы на целевой системе, обеспечивая полноценную двунаправленную передачу данных.

Инфраструктура и атрибуция

Анализ инфраструктуры показал, что по крайней мере один домен, используемый в кампании, был зарегистрирован в сентябре 2025 года. Запись домена демонстрировала привязки к сервисам Cloudflare и геолокации с российскими IP-адресами, что указывает на попытки маскировки операций с использованием общедоступной инфраструктуры. Отнесение кампании к группе Paper Werewolf поддерживается сходством инфраструктуры и тактик с предыдущими операциями этой группы.

«Недавняя адаптация к использованию файлов XLL указывает на продолжающуюся эволюцию методологий атак: группа сочетает новые механизмы доставки с уже знакомыми инструментами.»

Оценка угрозы

Переход на XLL как механизм доставки показывает растущую гибкость злоумышленников и повышает риск успешных атак, поскольку XLL-файлы часто воспринимаются как менее подозрительные, чем исполняемые файлы. Наблюдаемые ошибки в исполнении и лингвистической точности свидетельствуют о том, что, несмотря на совершенствование тактик, оперативная зрелость группы может всё ещё развиваться — это создает потенциально изменчивую и эволюционирующую угрозу, особенно для организаций в России.

Рекомендации по защите

  • Ограничить исполнение нестандартных add-ins в средах с повышенным уровнем риска и внедрить контроль загрузки XLL-файлов.
  • Мониторить процессы Excel на необычную активность (например, внезапное создание потоков, загрузку сторонних DLL и сетевые подключения после завершения потоков).
  • Инспектировать исходящие соединения на предмет Base64-кодированных сообщений и нестандартных шаблонов трафика к подозрительным доменам.
  • Внедрить многослойную защиту: EDR с возможностью детектирования загрузки DLL и подозрительных вызовов API, ограничение вызовов cmd.exe из пользовательских приложений.
  • Проверять репутацию доменов и использовать DNS-фильтрацию, а также контролировать использование CDN, например Cloudflare, в сочетании с нетипичной геолокацией IP.

Вывод: обнаруженная кампания демонстрирует эволюцию методов группы Paper Werewolf и подчеркивает необходимость повышения внимания к XLL-файлам как к вектору атаки. Организациям рекомендуется пересмотреть политики загрузки add-ins и усилить мониторинг поведения Excel и сетевого трафика.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: