СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.11.2025
#ИБ

UNC5174: Discord API для C2 и поэтапное развертывание бэкдоров

Эксперты выявили группу UNC5174, которая применяет бэкдор вредоносного ПО и использует Discord API для создания системы командования и контроля (C2). Этот подход обеспечивает злоумышленникам устойчивый удалённый контроль над скомпрометированными системами и демонстрирует эволюцию тактик закрепления и уклонения от обнаружения.

Ключевые моменты расследования

  • Группа последовательно разворачивает различные типы бэкдоров после первоначального вторжения, достигая долгосрочного доступа к сетям.
  • Первоначальный доступ часто осуществляется с помощью ранее установленных бэкдоров, таких как vshell.
  • После установки исходного бэкдора злоумышленники внедряют новые варианты, ориентированные на более эффективное уклонение от обнаружения — от «более заметного» к «более скрытому» исполнению.
  • Использование Discord API для операций C2 позволяет злоумышленникам маскировать вредоносную активность под легитимный трафик и инфраструктуру сторонней платформы.

Как работает методология

Тактика UNC5174 предполагает поэтапное закрепление в сети: сначала злоумышленники получают «верхний» доступ через известные бэкдоры, например vshell, затем заменяют или дополняют их более изощрёнными и малозаметными версиями. Такой переход от заметных к скрытым инструментам показывает понимание принципов OPSEC и стремление сохранить доступ надолго.

«использует Discord API для создания системы командования и контроля (C2)»

Использование Discord в роли канала C2 особенно примечательно: платформа широко распространена, её трафик часто считается нормальным, и это даёт злоумышленникам эффективный способ обхода систем мониторинга.

Последствия и наблюдаемые тенденции

  • Рост использования легитимных облачных и коммуникационных платформ для сокрытия C2-каналов.
  • Усиление внимания к многоэтапным сценариям атак, где первоначальный инструмент заменяется более скрытными модификациями.
  • Необходимость пересмотра подходов к детектированию: простая проверка сигнатур становится менее эффективной против адаптирующихся семейства бэкдоров.

Короткие выводы

Действия UNC5174 подчёркивают, что злоумышленники всё активнее используют хорошо известные платформы и поэтапные схемы развертывания вредоносных компонентов, чтобы обеспечить длительный, малозаметный доступ к сетям. Защитникам следует учитывать эту динамику при проработке стратегий обнаружения и реагирования.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: