СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
27.10.2025
#Dev#ИБ#ИИ#Инфра

В марте 2025 года Kaspersky сообщил о возобновлении кибератак

В марте 2025 года компания Kaspersky сообщила о возобновлении целевой кампании, приписываемой группе, идентифицированной исследователями как «Хакерская команда». Атака характеризуется продуманной цепочкой заражения: от персонализированных spear phishing-сообщений с вредоносными ссылками до сложного механизма доставки и закрепления вредоносного ПО на Windows-машинах.

Как происходила атака — по этапам

По данным «Касперского», операция включала несколько последовательно выполняемых шагов:

  • Spear phishing: жертве отправлялось персонализированное письмо с фишинговой ссылкой.
  • Переадресация на вредоносный сайт: пользователь, как правило используя Google Chrome или другой браузер на базе Chromium, переходил на сайт, созданный злоумышленниками.
  • Проверка окружения и эксплойт: сайт выполнял разведку системы (включая сбор информации с WebGPU API) и при необходимости задействовал потенциальный эксплойт.
  • Валидатор и обмен ключами: центральным элементом операции был валидатор, который собирал идентификаторы заражения, результаты проверки WebGPU API и недавно сгенерированный открытый ключ. Этот ключ передавался на сервер командования и контроля (C2) с использованием ECDH (Elliptic Curve Diffie-Hellman).
  • Шифрованная доставка полезной нагрузки: сервер C2 отвечал ключом AES-GCM, который применялся для расшифровки следующего этапа полезной нагрузки, скрытой в доброкачественных запросах к определённым веб-ресурсам.
  • Эксплойт zero-day: поведение вредоносной цепочки указывает на наличие неиспользованного эксплойта удалённого выполнения кода (RCE) для Google Chrome — обозначенного как CVE-2025-2783, — использовавшегося для выхода из «песочницы» браузера.
  • Закрепление в системе: после обхода браузерной защиты злоумышленники применяли перехват COM-модели компонентов (COM-hijacking), манипулируя записями реестра, чтобы обеспечить выполнение вредоносной полезной нагрузки во время системных операций.

Особенности эксплойта и обхода защит

Наибольшую обеспокоенность вызвало то, что эксплойт для выхода из «песочницы» не был типичным примитивным уязвимостью: злоумышленники использовали логическую уязвимость в операционной системе Windows, что позволило обойти защитные механизмы Chrome без немедленного обнаружения. Такое сочетание браузерного zero-day и системной уязвимости повышает сложность обнаружения и расследования инцидента.

LeetAgent — структура и поведение шпионского модуля

Шпионское ПО, использованное в кампании, получило название LeetAgent. Его ключевые характеристики:

  • Коммуникация с C2 по протоколу HTTPS.
  • Управление через команды, представленные числовыми идентификаторами — структурированный, «методичный» протокол управления.
  • Команды в leetspeak — редкая для APT-хелперских инструментов особенность, на которой аналитики акцентировали внимание.

Атрибуция и сопутствующие индикаторы

Аналитическая корреляция тактик, техник и процедур (TTP), а также характеристик кода привела исследователей к уверенности в причастности «Хакерской команды». В качестве ключевых указателей специалисты отметили:

  • Ссылки в коде на «Dante»;
  • Сходство с ранними образцами вредоносного ПО для систем удалённого управления (RCS);
  • Эволюцию дизайна вредоносных компонентов по сравнению с прежними семействами, приписываемыми этой группе.

По словам исследователей, комбинирование кодовых подсказок и поведенческих индикаторов укрепляет доверие к атрибуции, однако окончательное опознание злоумышленников остаётся нетривиальной задачей.

Выводы и рекомендации

Случай подчёркивает несколько важных моментов для экспертов по кибербезопасности и администраторов:

  • Необходимость оперативного патчинга браузеров и ОС, особенно при появлении сообщений о zero-day уязвимостях (например, CVE-2025-2783).
  • Важность многоуровневой защиты: фильтрация фишинга, мониторинг сетевых HTTPS-соединений, контроль целостности реестра и COM-записей.
  • Нужда в корреляции различных источников телеметрии для достоверной атрибуции и своевременного обнаружения сложных кампаний.

Эта кампания — яркий пример эволюции сложных целевых угроз (APT), сочетающих социальную инженерию, Browser zero-day и системные методики закрепления. Для эффективной защиты требуется как оперативное реагирование на уязвимости, так и долгосрочный анализ поведения угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: