СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
4 марта
#ИБ

SloppyLemming: BurrowShell и Rust-кейлоггер атакуют Пакистан и Бангладеш

Группа кибершпионажа SloppyLemming, ассоциируемая с Индией, в течение последнего года провела масштабные операции против правительственных учреждений и критически важной инфраструктуры в Пакистане и Бангладеш. Анализ, выполненный компанией Arctic Wolf, выявил две основные цепочки атак, существенное расширение инфраструктуры и эволюцию инструментов группы.

Краткие выводы

  • SloppyLemming использовала две основные цепочки атак: одна — через PDF, перенаправлявшие на ClickOnce-манифесты, вторая — через Excel-документы с макросами.
  • Первая цепочка включает DLL Sideloading с использованием легитимного Microsoft-исполняемого файла NGenTask.exe и вредоносной библиотеки mscorsvc.dll, которая загружает пользовательский x64 shellcode BurrowShell.
  • BurrowShell — многофункциональный backdoor для управления файлами, съемки экрана, удаленного выполнения команд, создания SOCKS-туннелей и прочего; коммуникации C2 маскируются под трафик Windows Update и шифруются с помощью RC4.
  • Вторая цепочка использует Excel с макросами для разворачивания keylogger на базе Rust — значительная эволюция инструментария, ранее группа применяла в основном традиционные компилируемые языки.
  • Инфраструктура кампании заметно выросла: с января 2025 по январь 2026 зарегистрировано 112 доменов Cloudflare Workers против 13 ранее. Многие домены имитировали пакистанские и бангладешские правительственные ресурсы.
  • В ряде доменов обнаружены open directory, что позволило исследователям найти файлы, связанные с post-exploitation framework Havoc, применявшимся SloppyLemming в прошлых операциях.

По данным Arctic Wolf, группа выполнила две основные цепочки атак, каждая из которых отражает комбинирование социальных инженерных приемов и сложных техник обхода безопасности.

Технические детали атак

Цепочка №1 — PDF → ClickOnce → DLL Sideloading

Атака начинается с PDF-документа, который перенаправляет жертву на ClickOnce-манифест. ClickOnce развертывает пакет, содержащий легитимный, подписанный Microsoft-исполняемый файл NGenTask.exe и вредоносную библиотеку mscorsvc.dll. При запуске NGenTask.exe происходит перехват порядка поиска DLL (DLL Search order) — загружается mscorsvc.dll, в которой находится загрузчик. Загрузчик разворачивает пользовательский x64 shellcode BurrowShell, предоставляющий оператору широкий набор возможностей управления системой.

Возможности BurrowShell включают:

  • манипулирование файлами и их эксфильтрация;
  • съемка экрана и захват изображения;
  • удаленное выполнение команд и интерактивная оболочка;
  • установка SOCKS-прокси туннелей для ретрансляции трафика;
  • маскировка C2-переговоров под трафик Windows Update с использованием RC4 для защиты полезных данных.

Цепочка №2 — Excel с макросом → keylogger на Rust

Второй вектор использует документы Excel с включенными макросами, которые устанавливают keylogger, написанный на Rust. Этот keylogger обладает возможностями разведки: сканирование портов, перечисление сетевых интерфейсов и другие функции, типичные для инструментов сбора разведданных.

Инфраструктура и оперативная направленность

Арест инфраструктуры показал значительное наращивание ресурсов SloppyLemming: 112 доменов Cloudflare Workers за 12 месяцев против 13 ранее. Большинство доменов были оформлены под пакистанские и бангладешские государственные организации, что указывает на региональную фокусировку операций.

Наличие open directory в некоторых доменах позволило аналитикам извлечь вспомогательные компоненты и подтвердить привязку к Havoc — фреймворку для post-exploitation, который группа использовала ранее.

Операционная методология и эволюция инструментов

SloppyLemming применяет комбинацию сложных техник, направленных на обход детектирования и снижение требований к привилегиям на целевых системах:

  • Перехват DLL Search order с использованием легитимных, подписанных Microsoft бинарей (например, NGenTask.exe) для DLL Sideloading. Такой подход повышает шансы успешно пройти проверки безопасности и запустить вредоносный код без повышения привилегий.
  • Маскировка C2 под легитимные сервисы (Windows Update) и использование шифрования (RC4) для защиты каналов связи.
  • Переход к использованию Rust для разработки keylogger — это важный сигнал эволюции: Rust обеспечивает удобные механизмы управления памятью и может усложнить анализ бинарных артефактов по сравнению с традиционными языками.
  • Активная эксплуатация облачных сервисов (Cloudflare Workers) для построения распределенной и трудноотслеживаемой инфраструктуры C2.

Цели атак и стратегический контекст

Выбор целей указывает на целенаправленный сбор разведданных в ключевых секторах Южной Азии: органы ядерного регулирования, оборонные организации, телекоммуникационные и финансовые учреждения в Пакистане и Бангладеш. По сути, действия SloppyLemming коррелируют с задачами стратегической разведки в условиях региональных напряженностей.

Последствия и рекомендации

Выявленные техники и расширение инфраструктуры свидетельствуют о профессиональном уровне кампании и о готовности группы адаптироваться: от использования новых языков разработки до освоения облачных платформ для C2. Это повышает угрозу успешных атак и усложняет обнаружение и инцидент-реакцию.

Краткие рекомендации для потенциальных целей и команд по безопасности:

  • Блокировать и мониторить ClickOnce-запросы и проверять источники PDF/ClickOnce-манифестов.
  • Следить за аномалиями в запуске легитимных Microsoft-исполняемых файлов (например, NGenTask.exe) и контролем загружаемых ими DLL.
  • Ограничить исполнение макросов в Office-документах и внедрить процедуры анализа подозрительных Excel-файлов.
  • Анализировать и каталогизировать домены Cloudflare Workers, особенно те, которые имитируют государственные ресурсы; проверить open directory на предмет экспонированных артефактов.
  • Обратить внимание на трафик, имитирующий Windows Update, и искать шифрованные нестандартные полезные нагрузки (включая RC4).

Аналитики и операторы безопасности должны учитывать, что SloppyLemming демонстрирует целенаправленную и гибкую модель ведения операций, способную быстро внедрять новые техники и платформы. Это требует скоординированного подхода к мониторингу, обмену индикаторами и проактивной защите критической инфраструктуры региона.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: