СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:53
#ИБ

UnsolicitedBooker: бэкдоры LuciDoor и MarsSnake атакуют телекомы

В конце 2025 — начале 2026 годов восточноазиатская хакерская группировка, связанная с UnsolicitedBooker, провела серию целевых атак против телекоммуникационных компаний в Кыргызстане и Таджикистане. По данным анализа, злоумышленники применяли сложные «бэкдор»-системы и продвинутые техники проникновения, что указывает на высокую степень организованности и технической подготовки.

Ключевые элементы кампании

Атаки отличались комбинированием нескольких техник: использование двух основных бэкдоров — LuciDoor и MarsSnake, целевой фишинг с замаскированными документами, эксплуатация сетевых устройств и применение методов повышения скрытности (включая DLL side-loading).

  • LuciDoor — бэкдор, который примечателен настро­йкой консольного шрифта Lucida для отображения на терминале и устойчивым закреплением при подключении к своему серверу управления (C2). Первоначально злоумышленники пытаются подключиться напрямую; при неудаче используются системные прокси-серверы и активные пользовательские подключения как «последнее средство». Такое многоступенчатое использование прокси подчёркивает изощрённость тактики проникновения.
  • MarsSnake — более поздняя платформа, адаптируемая без перекомпиляции исполняемого файла: конфигурация может изменяться «на лету». Бэкдор содержит зашифрованный блок, который обновляется простыми изменениями методом XOR, что облегчает модификацию полезной нагрузки без пересборки.
  • Фишинг и вредоносные документы — целевые кампании рассылки через сервисы Hotmail и Outlook, в которых используются документы, маскирующиеся под материалы, связанные с телекомами. Документы содержали макросы: при их активации выполнялась скрытная загрузка полезной нагрузки. Изображения в этих документах были созданы с помощью китайского инструмента Snipaste и содержали явные маркеры компрометации.
  • Инфраструктура C2 и ресурсы — злоумышленники приобретали домены и серверы для организации каналов управления, а также компрометировали устройства MikroTik, превращая их в узлы C2. Это свидетельствует о продуманной логистике и достаточном уровне ресурсов.
  • Методы скрытности — использование DLL side-loading позволило запускать вредоносную логику через доверенные исполняемые файлы; каналы связи с C2 выполнялись как по зашифрованным, так и по запутанным протоколам.

«Этот многоступенчатый механизм прокси‑сервера подчеркивает изощренность тактики проникновения.»

Связь с предыдущей активностью

Оперативный фреймворк и применяемые методы тесно коррелируют с предыдущими кампаниями, приписываемыми UnsolicitedBooker, в том числе фишинг-атаками на активы в Саудовской Аравии. Смена фокуса на телекоммуникационный сектор Центральной Азии сопровождается усилением технической гибкости вредоносных инструментов и вариативностью каналов доставки полезной нагрузки.

Оценка угрозы и рекомендации

Анализ показывает, что группа действует целенаправленно и использует комбинацию тактик для обеспечения устойчивого присутствия в сети жертв. Основные риски для операторов телекоммуникаций — компрометация сетевых устройств, утечка системной информации и получение злоумышленниками устойчивого удалённого управления.

  • Провести аудит и обновление прошивок и конфигураций сетевого оборудования, в частности MikroTik;
  • Проверить логи на признаки нестандартных прокси‑сессий и подозрительных подключений к внешним серверам C2;
  • Ограничить исполнение макросов в офисных документах и внедрить блокировку подвешенных макросов в почтовых шлюзах;
  • Мониторить использование DLL в критичных приложениях и внедрить контроль целостности исполняемых модулей;
  • Проверять приобретённые домены и внешние серверы на предмет связи с внутренними системами и блокировать подозрительные каналы.

Вывод

Кампании, описанные в отчёте, демонстрируют, что UnsolicitedBooker и аффилированные группы продолжают развивать свои инструменты и тактики, адаптируя их под цели в регионе Центральной Азии. Сочетание целевого фишинга, манипуляций сетевыми устройствами и гибких бэкдоров делает такие операции особенно опасными для телеком-операторов. Оперативные меры по укреплению сети и повышению уровня детектирования остаются ключевыми для противодействия этой угрозе.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: