UAT-11795: многоэтапная кампания с RAT, WLDR и кражей криптоактивов

С середины 2025 года финансово-мотивированная, преимущественно русскоязычная хакерская группа UAT-11795 ведёт оппортунистические атаки против пользователей в США и Европе. Злоумышленники комбинируют социальную инженерию, работу в памяти и сложную инфраструктуру C2, чтобы оставаться незамеченными. В их арсенале — кастомные инструменты удалённого доступа, многоступенчатые загрузчики и специализированные стилеры.

Методы распространения и первоначальный доступ

Группировка использует широкую сеть троянизированных приложений — от инструментов для разработчиков и средств ИТ-администрирования до платформ корпоративного взаимодействия и игрового софта. Цель — охватить как можно больше профилей жертв. Первичный контакт часто происходит через технику социальной инженерии ClickFix, которая вынуждает пользователя запустить вредоносный HTA-файл.

«Схема ClickFix выглядит как безобидная подсказка или обновление, но приводит к исполнению вооружённого скрипта, открывающего дорогу всей цепочке атаки», — поясняют аналитики, знакомые с тактикой группы.

После выполнения HTA-файла на машину доставляется троянизированный установщик, который закрепляет соединение со злоумышленником через Telegram-бота. С его помощью операторы получают мгновенное уведомление о каждом новом имплантированном устройстве.

Инфраструктура и маскировка C2

Для размещения полезных нагрузок и поддержания постоянной связи с заражёнными узлами UAT-11795 развернула инфраструктуру, имитирующую легитимный трафик. Домены eorthopaedics.com и sastoro.com служат платформами хостинга, где вредоносный контент соседствует с обычным материалом, затрудняя детектирование. Основной C2-сервер Starland RAT извлекает уникальные идентификаторы из аппаратного обеспечения жертв для персонализированного взаимодействия. В качестве резервного механизма разрешения доменов используется смарт-контракт Polygon, который обеспечивает динамическую маршрутизацию и устойчивость к блокировкам.

Технический арсенал

Ключевые инструменты группировки демонстрируют высокую степень проработки и обхода защитных решений.

  • Starland RAT — основанный на Python инструмент удалённого доступа, работающий исключительно в памяти. Перед выполнением вражеских процедур он сверяет имя пользователя и компьютера со списками известных песочниц. RAT собирает данные для разведки, ворует учётные записи и поддерживает связь с C2 даже в неблагоприятных условиях.
  • WLDR agent — PowerShell-имплант, также не оставляющий следов на диске. Использует зашифрованный C2-канал, систему очередей задач и особый механизм выполнения Runspace, способный загружать дополнительные модули. Агент обеспечивает контроль в реальном времени, включая сбор информации об установленных антивирусах и аппаратных идентификаторах.
  • Дополнительные полезные нагрузки: CastleStealer — инструмент для кражи конфиденциальных данных из браузеров и криптокошельков; Remcos RAT — известный коммерческий вредонос, расширяющий возможности шпионажа.

Тактики обхода и усложнение анализа

Загрузчики shellcode, задействованные в кампании, динамически разрешают Windows API и включают техники уклонения от антивирусных сканеров. В связке с проверками на антианализ и работой исключительно в оперативной памяти это позволяет UAT-11795 длительное время сохранять присутствие в заражённой среде без записи на диск.

Заключение

UAT-11795 реализует многоэтапную стратегию, в которой социальная инженерия ClickFix, самописные RAT, изощрённая C2-инфраструктура с резервированием через Polygon и глубокая разведка на хосте слиты в единую цепочку. Сочетание оппортунистической модели распространения и сложного арсенала делает группировку заметной и устойчивой угрозой для пользователей в США и Европе.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: