Velvet Tempest и Termite: многоэтапная кампания с поддельной капчей

Отчет описывает значительную и целенаправленную кампанию вторжений, связанной с актором Velvet Tempest, ассоциируемым с программой-вымогателем Termite. Нападение началось нетрадиционно — с вредоносной рекламы, которая побуждала пользователя вручную вставить сложную команду в диалоговое окно запуска Windows. Эта простая, но эффективная социально-инженерная уловка стала отправной точкой для многоступенчатой цепочки доставки и исполнения вредоносных компонентов.

Как разворачивалась атака

Ключевые этапы кампании выглядят следующим образом:

• Инициирующая фаза — вредоносная реклама с поддельной капчей в стиле ClickFix style, которая убеждала пользователя выполнить запутанную команду через Run (диалоговое окно запуска Windows).
• Выполнение вложенных команд через cmd.exe с использованием утилиты finger.exe для проверки исходящего подключения по TCP-порту 79.
• Загрузка маскированного под PDF вредоносного файла из инфраструктуры злоумышленника и последующая цепочка загрузки дополнительных компонентов через PowerShell.
• Дальнейшее разворачивание динамических .NET-пейлоадов, компилируемых и запускаемых через csc.exe из временных пользовательских папок.
• Укрепление присутствия — разворачивание Python-компонентов в каталоге C:ProgramData и использование их для постоянства.
• Разведка Active Directory: проверка доверий домену и сбор списков пользователей; эксфильтрация учетных данных из браузеров с помощью PowerShell-скриптов, полученных с сервера управления.

Используемые инструменты и техники

Кампания демонстрирует сочетание «living-off-the-land» методов и кастомных инструментов:

• LOLBins: cmd.exe, csc.exe, pythonw.exe, finger.exe и другие системные утилиты использовались для уменьшения возможности обнаружения.
• PowerShell: загрузка и исполнение модулей через шаблоны, характерные для IEX + DownloadData.
• .NET-динамические полезные нагрузки: компиляция на хосте с использованием csc.exe.
• Python-компоненты, размещённые в C:ProgramData, для обеспечения устойчивого доступа.
• Использование специализированных инструментов: DonutLoader и CastleRAT.
• Сетевой уровень: постоянный трафик управления, замаскированный под нормальную активность браузера.

Поведение, указывающее на подготовку к программ-вымогателям

Хотя за период наблюдения фактического шифрования данных не зафиксировано, набор действий свидетельствует о подготовительных мерах, типичных для операций с ransomware:

• Фокус на управляемом пользователем выполнении команд (через Run), в отличие от традиционных векторов, таких как макросы или вложения.
• Этапное развертывание полезных нагрузок: первоначальная загрузка → динамическая компиляция → установка постоянных компонентов.
• Продвинутые техники извлечения учетных данных и разведки AD.
• Использование безопасно выглядящих бинарников и смешение управляющего трафика с трафиком браузера для обхода сетевых детекторов.

«Кампания демонстрирует акцент на управляемом пользователем выполнении команд… выполнение PowerShell через диалоговое окно запуска Windows является критическим индикатором.»

Индикаторы компрометации и ключевые сигнатуры для мониторинга

Для оперативного обнаружения и расследования рекомендуются следующие сигнатуры и поведенческие индикаторы:

• Необычные запуски команд через диалог Run (включая аномальные строки, вставленные пользователем).
• Запуск finger.exe на рабочих станциях — особенно при исходящих соединениях по TCP/79.
• Шаблоны PowerShell, содержащие IEX в сочетании с DownloadData или прямой загрузкой скриптов с подозрительных доменов.
• Аномальное поведение csc.exe: компиляция .NET-кода из временных пользовательских директорий.
• Действия pythonw.exe и скриптов в C:ProgramData, указывающие на стойкое присутствие.
• Ссылки на домены, упомянутые в отчете (например, vrstudio.студия и похожие подозрительные хосты), а также использование DonutLoader / CastleRAT.

Рекомендации по защите

Отчет подчеркивает необходимость многоуровневого подхода — от мониторинга до профилактики:

• Мониторинг пользовательского ввода: отслеживать и алертить на необычные шаблоны выполнения команд, инициированных через диалоговое окно запуска Windows.
• Контроль PowerShell: запрет или усиленный аудит запусков PowerShell, особенно вызовов через Run и сетевых загрузок с внешних доменов.
• Ограничение LOLBins: применение политик контроля приложений (AppLocker, Microsoft Defender Application Control) для ограничения использования csc.exe, pythonw.exe и других системных утилит в пользовательских контекстах.
• DNS-фильтрация: блокировка или фильтрация доступа к подозрительным доменам и раннее выявление аномального разрешения имен.
• Защита учетных данных: внедрение защищенных хранилищ, MFA, мониторинг экспорта паролей из браузеров и предотвращение несанкционированного доступа к сессионным данным.
• Аудит Active Directory: отслеживание операций разведки доверий доменов, массовых запросов пользователей и необычных привилегированных операций.
• Сетевой анализ: выявление трафика, маскирующегося под браузерный, и корреляция с поведением на конечных точках.

Вывод

Кампания Velvet Tempest демонстрирует продуманную, поэтапную тактику доставки и исполнения вредоносных компонентов, основанную на сочетании социальной инженерии и использования легитимных инструментов системы (LOLBins). Несмотря на отсутствие зафиксированного шифрования данных в наблюдаемый период, поведение злоумышленников соответствует подготовке к операциям программ-вымогателей. Это требует от организаций повышенной бдительности, настройки детекторов на поведенческую аналитику и внедрения превентивных мер на уровне политик исполнения и сетевой безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.