Исследователи из Лаборатории Касперского выкатили отчет с новыми подробностями расследования сложной APT-кампании с цепочкой эксплойтов нулевого дня для Google Chrome, которая отслеживается как Operation ForumTroll.

ЛК удалось связать эксплуатацию первой в 2025 году 0-day Chrome (CVE-2025-2783) с деятельностью хакерской команды Hacking Team, специализирующейся на разработке шпионского ПО.

Судя по функциональности обнаруженного вредоносного ПО, основной целью Operation ForumTroll был кибершпионаж. Среди жертв - НИИ, СМИ, образовательные, финансовые, государственные и пр. организации в России.

Цепочка атаки начиналась с профессионально подготовленных фишинговых писем, содержащих персонифицированные ссылки на вредоносный сайт.

Несмотря на их очень короткий срок жизни ресерчерам ЛК удалось идентифицировать сложный 0-day эксплойт.

Код был разработан специально для валидации пользователя, обхода песочницы Chrome и выполнения шелл-кода, что приводило к установке загрузчика вредоносного ПО.

Злоумышленники закреплялись в системе при помощи техники Component Object Model (COM) hijacking.

При этом последней полезной нагрузкой выступало LeetAgent - шпионское ПО, написанное на языке leetspeak, которое могло получать команды по HTTPS, регистрировать нажатия клавиш и красть файлы.

На основе команд, полученных от сервера С2, размещенного в облачной инфраструктуре Fastly.net, шпионское ПО может выполнять команды в командной строке, запускать процессы, внедрять шелл-код, а также читать/записывать файлы.

Также с ее помощью атакующие загружали и скачивали вспомогательные инструменты, такие как 7z, Rclone, SharpChrome и дополнительное вредоносное ПО

По данным Лаборатории Касперского, LeetAgent использовался как минимум с 2022 года в атаках на организации в России и Беларуси, а в некоторых случаях - для развертывания более сложного семейства spyware, разработанного итальянской Memento Labs (ранее - Hacking Team).

Hacking Team, основанная в 2003 году, наиболее известна своим шпионским ПО Remote Control Systems (RCS), которое пользовалось популярностью у спецслужб по всему миру.

Судьба Hacking Team претерпела внезапный поворот, после того как в 2015 году в результате взлома в интернет попали 400 ГБ ее внутренних документов.

В 2019 году ее приобрела InTheCyber Group и переименована в Memento Labs, одновременно запустив полное обновление линейки решений.

Новый коммерческий инструмент кибершпионажа Memento под названием Dante имеет много общего с RCS, также известным как Da Vinci.

При этом до сих пор мало, что было известно о возможностях этого ПО, и никто не встречал его в реальных атаках.

В основе его работы лежит оркестратор, который загружает загруженные и хранящиеся локально модули.

Он также обладает функциями защиты от анализа и выполняет различные проверки зараженной системы. При долгом отсутствии ответа от С2 шпионская ПО удаляется из системы.

По данным ЛК, злоумышленник, стоящий за Operation ForumTroll, не был замечен в использовании Dante в этой кампании, но задействовал его в других атаках, в которых разворачивал тот же набор инструментов.

В частности, исследователи обнаружили ряд совпадений в атаках Operation ForumTroll и инцидентах с использованием Dante: схожие пути в файловой системе, одинаковый механизм сохранения, данные, скрытые в файлах шрифтов, и другие незначительные детали.

Более того, в ЛК обнаружили совпадения в коде эксплойта, загрузчика и Dante.

Все это в совокупности позволяет предполагать, что Operation ForumTroll проводилась с помощью набора инструментов, поставляющегося в комплекте с Dante.

Вероятно теперь, когда Dante обнаружен новому владелецу Hacking Team снова придется пилить продукты с чистого листа.

Avast выпустила дешифратор, позволяющий восстанавливать файлы после атак с использованием вируса-вымогателя Midnight без выплаты выкупа.

Вирус-вымогатель был написан на основе исходного кода старого вируса-вымогателя Babuk.

Его основная структура и алгоритм выполнения Midnight во многом унаследованы от предшественника, но его криптографическая реализация была существенно переработана.

Эти изменения привели к появлению уязвимостей, делающих возможной расшифровку файлов, что мы и использовали для разработки работающего дешифратора. 

Как известно, в середине 2021 года операторы Babuk внезапно прекратили работу и раскрыли весь свой исходный код, включая сборщики для Windows, ESXI и NAS.

Эта утечка привела к появлению волны новых штаммов программ-вымогателей, каждое из которых модифицировало исходный код Babuk в соответствии со своими целями. 

Midnight - один из таких вариантов.

Впервые, ransomware обнаружили исследователи Gen. Вредоносный код Midnight обычно добавляет расширение .Midnight или .endpoint к зашифрованным файлам.

В некоторых случаях вирус-вымогатель настроен так, чтобы не изменять имена файлов. Вместо этого он добавляет строку расширения непосредственно в конец содержимого файла.

В затянутых каталогах появляется записка с требованием выкупа под названием «How To Restore Your Files.txt».

Дополнительные индикаторы включают создание мьютекса Mutexisfunnylocal, который используется для предотвращения одновременного запуска нескольких экземпляров программы-вымогателя.

Некоторые образцы также создают журнал отладки в зараженной системе, в зависимости от конфигурации.

Известные варианты вредоносной ПО создавали файлы журналов Report.Midnight или debug.endpoint.

Midnight использует для шифрования содержимого файла и RSA для шифрования ключа.

Ключ, зашифрованный RSA, вместе с его хешем SHA256 добавляется в конец каждого зашифрованного файла. Этот формат одинаков для всех известных образцов.

Для повышения производительности Midnight использует прерывистое шифрование, метод, также используемый Babuk.

Однако Midnight совершенствует этот подход, применяя более детальную логику, основанную на размере файла, для определения частей файла, подлежащих шифрованию.

Это позволяет ему быстрее обрабатывать большие файлы, при этом делая их непригодными для использования.

Более ранние образцы Midnight были нацелены, в первую очередь, на наиболее ценные файлы, такие как базы данных, резервные копии и архивы.

Более поздние варианты расширили область своего действия и теперь шифруют практически все типы файлов, за исключением исполняемых файлов, таких как .exe, .dll и .msi.

Другие технические подробности и практическое руководство по дешифратор - в отчете.

Генеральный директор итальянского поставщика spyware Memento Labs (Hacking Team) подтвердил выводы расследования Лаборатория Касперского в отношении кампании Operation ForumTroll, нацеленной на объекты в частном и государственном секторах Белоруссии и России.

Как мы уже упоминали, цепочка атак включала задействование уязвимости нулевого дня Google Chrome (CVE-2025-2783), а также шпионского арсенала платформы Dante, включая инфраструктуру, эксплойты и полезную нагрузку - имплант/агент LeetAgent.

Причем деятельность Memento Labs детектировалась по всей России в том или ином объеме также исследователями других ИБ-компаний.

Dr.Web обнаружила одну из фишинговых операций Memento Labs в сентябре 2024 года.

F6 упоминала атаки Dante APT в своем аналитическом отчете «Киберугрозы в России и СНГ 2024/25».

Positive Technologies изначально отслеживала группу как TaxOff и Team46, а затем связала эти две операции после выхода отчёта ЛК по ForumTroll в марте.

Гендир Паоло Лецци сообщил изданию TechCrunch, что шпионское ПО было установлено одним из его клиентов - государственным заказчиком, который задействовал в операции старую версию Dante, поддержку которого Memento планирует прекратить к концу года.

Соответственно, конкретного клиента Лецци не назвал, вообще удивился, что кто-то использует эту версию Dante, пообещав во всем разобраться и разослать всем своим клиентам сообщение с просьбой прекратить использование шпионского ПО для Windows.

При этом якобы Memento уже обращалась ко всем своим клиентам с просьбой прекратить использование вредоносного ПО для Windows, предупреждая также о том, что представители ЛК обнаружили заражения шпионским ПО Dante ещё в декабре 2024 года.

Руководитель Memento также отметил, что в настоящее время компания разрабатывает шпионское ПО исключительно для мобильных платформ.

Компания также ведет работу по поиску 0-day и разработке соответствующих эксплойтов для их использования в работе своего шпионского софта. Но, как он признался, в основном приобретает эксплойты от сторонних разработчиков. 

Безусловно, не можем не согласиться, что с Лецци по поводу теперь уже однозначно «устаревшего» софта, который после отчета ЛК и коллег можно действительно выкидывать в урну.

Судя по активности ForumTroll, по всей видимости, никаких предупреждений могло и не быть (до выхода отчета ЛК).

Ведь вложенные инвестиции в начальную разработку и затем новую иттерацию флагманского софта нужно же отбивать до последнего евро (а еще и заработать).

Начался приём заявок на премию «Киберпризнание» — новый культурный стандарт признания в сфере кибербезопасности

Национальная премия «Киберпризнание» в области кибербезопасности соберёт вместе людей, компании и инициативы, двигающие кибербезопасность вперёд.

Четыре трека — «Люди», «Компании», «Регионы» и «Общество».
Четырнадцать номинаций, охватывающих всё: от личных достижений до системных проектов, влияющих на будущее кибербезопасности в России.

Выбирать победителей будет экспертный совет премии, сформированный из представителей профессионального кибербез-сообщества.

В премию могут номинироваться проекты и инициативы, реализованные в период с 1 октября 2024 года по 1 октября 2025 года.

Участие бесплатное, подать заявку на участие могут только компании, основной деятельностью которых не является разработка в области кибербезопасности, а также IT- и кибербез-интеграции и дистрибуции.

Победители будут объявлены 4 декабря. Вручение наград будет проходить в рамках специальной церемонии награждения в Кибердоме. Победа здесь — символ того, что ваш опыт, знания и вклад важны для всей индустрии!

Подайте заявку и станьте частью истории кибербезопасности в России!

Заявки принимаются до 10 ноября.

#реклама
О рекламодателе

31 октября вышло два отчета: один от индийской Seqrite Labs (здесь), а другой от американской Cyble (здесь).

Обе компании анализировали фишинговую кампанию, получившую наименование SkyCloak, в которой задействуется бэкдор OpenSSH в сочетании со скрытой службой Tor и obfs4 для сокрытия трафика.

Проведя анализ исполненных на русском языке приманок и других артефактов, исследователи Seqrite Labs четко определили, что основными целями SkyCloak являлись российские ВДВ и белорусский спецназ.

В то время, как в Cyble успели «оперативно» атрибутировать угрозу и приписали активность пророссийской APT44 (Sandworm), сославшись на некие схожести в TTPs.

Правда, после упоминания неких разведданных от CERT-UA и SSSCIP в конце отчета Cyble все встало на свои места.

Тут даже, не углубляясь в детали анализа образцов, очевидно, что исполненная на русском языке приманка точно не могла применяться в атаках на ВСУ или военнослужащих каких-либо иных стран.

Но у Cyble другое мнение, там со всей серьезностью заявляют (цитата): «учитывая источник и формулировки, на данном этапе неясно и маловероятно, что эта атака направлена против России или Беларуси».

Суть Operation SkyCloak сводится к побуждению получателей фишинговых писем открыть ZIP-файл, содержащий скрытую папку со вторым архивным файлом, а также LNK, запуск которого реализует многоступенчатую цепочку заражения.

Они запускают команды PowerShell, которые действуют как начальный этап дроппера, где помимо LNK используется другой архивный файл для настройки всей цепочки.

Одним из промежуточных модулей является стейджер PowerShell, который отвечает за выполнение проверок на антианализ для обхода песочниц, а также за запись адреса Tor в файл с именем hostname в папке C:\Users\<Имя пользователя>\AppData\Roaming\logicpro\socketExecutingLoggingIncrementalCompiler\.

В ходе аналитических проверок вредоносная ПО подтверждает, что количество последних LNK-файлов в системе больше или равно 10, а также проверяет, что текущее количество процессов больше или равно 50. В противном случае PowerShell внезапно прекращает выполнение.

После этого скрипт приступает к отображению фейкового PDF, сохраненного в папке logicpro, одновременно настраивая сохранение на машине с помощью запланированной задачи под именем githubdesktopMaintenance, которая запускается автоматически и выполняется с регулярными интервалами каждый день в 10:21 по Гринвичу.

Она предназначена для запуска logicpro/githubdesktop.exe, который представляет собой переименованную версию sshd.exe, легитимного исполняемого файла, связанного с OpenSSH для Windows, что позволяет установить службу SSH, которая ограничивает связь предварительно развернутыми авторизованными ключами, хранящимися в той же папке logicpro.

Помимо включения возможности передачи файлов по протоколу SFTP, вредоносная ПО также создаёт вторую запланированную задачу, настроенную на запуск logicpro/pinterest.exe - модифицированного двоичного файла Tor для создания скрытой службы, которая взаимодействует с .onion-адресом злоумышленника, маскируя сетевой трафик с помощью obfs4.

Кроме того, она реализует переадресацию портов для нескольких критически важных служб Windows, таких как RDP, SSH и SMB, для облегчения доступа к системным ресурсам через Tor.

После установления соединения вредоносная ПО извлекает системную информацию, а также уникальный URL-адрес хоста .onion, идентифицирующий скомпрометированную систему с помощью команды curl.

В конечном итоге злоумышленник получает возможность удалённого доступа к скомпрометированной системе, получив URL-адрес .onion жертвы по каналу С2.

Как отмечают исследователи Seqrite Labs, для обхода мониторинга сети используются специальные конфигурации подключаемого транспорта и SSHD, а сами атаки однозначно направлены на Россию и Беларусь.

При этом аналогичные атаки были замечены у проукраинских APT-групп - Angry Likho (Sticky Werewolf) и Awaken Likho (Core Werewolf).

Это в очередной раз к вопросу об «атрибуции» в западном инфосеке.

Исследователи из Dr.Web в своем новом отчете сообщают расчехлили арсенал Cavalry Werewolf, который удалось задетектить в ходе расследования целевой атаки в отношении неназванного российского госучреждения.

Одной из целей выявленной кампании, проводимой APT, был сбор конфиденциальной информации и данных о конфигурации сети.

Для получения первоначального доступа злоумышленники использовали распространенный вектор проникновения - фишинговые электронные письма с прикрепленным к ним вредоносным ПО, замаскированным под документы.

В данном случае сообщения содержали неизвестный на момент атаки бэкдор BackDoor.ShellNET.1, который основан на ПО с открытым кодом Reverse-Shell-CS.

Он позволяет дистанционно подключаться к зараженным компьютерам через обратный шелл и выполнять различные команды. Эта вредоносная ПО располагалась в защищенном паролем архиве и, в зависимости от рассылки, имела различные имена.

Используя бэкдор, злоумышленники продолжили закрепление в целевой системе, загрузив несколько вредоносных ПО через стандартный для ОС Windows Bitsadmin, предназначенный для управления заданиями по передаче файлов.

Приложение запускалось с набором определенных ключей командной строки и от имени текущего администратора системы.

В целом, вредоносные программы в фишинговых письмах могут быть представлены разным типом вредоносного ПО.

В Dr.Web выделили следующие: скрипты (BAT.DownLoader.1138) и исполняемые файлы (Trojan.Packed2.49708, Trojan.Siggen31.54011, BackDoor.Siggen2.5463, BackDoor.RShell.169, BackDoor.ReverseShell.10).

Первой из ранее неизвестных, загруженных через BackDoor.ShellNET.1, был стилер Trojan.FileSpyNET.5.

С его помощью киберпреступники скачали хранившиеся на компьютере документы в форматах .doc, .docx, .xlsx и .pdf, текстовые файлы (.txt), а также изображения (.jpg, .png).

Затем атакующие установили бэкдор BackDoor.Tunnel.41 (представляет собой ПО с открытым исходным кодом ReverseSocks5) с целью создания SOCKS5-туннелей и дальнейшего выполнения на нем команд, в том числе - с возможностью установки другого вредоносного ПО.

При этом расследование инцидента позволило выявить не только указанные вредоносные приложения, но и множество других инструментов, которые Cavalry Werewolf используют для проведения таргетированных атак. 

В частности, были обнаружены следующие вредоносные Пяо, которые могут в дальнейшем устанавливаться на зараженные устройства после компрометации: Trojan.Inject5.57968, BackDoor.ShellNET.2, BackDoor.ReverseProxy.1 и Trojan.Packed2.49862.

Последняя представляет собой набор троянизированных версий легитимных ПО, в которые злоумышленники внедрили вредоносный код.

В зависимости от целей киберпреступников в этих модификациях могут скрываться самые разные вредоносные программы.

Среди них: BackDoor.ReverseProxy.1 (ReverseSocks5), BackDoor.Shell.275 (AdaptixC2), BackDoor.AdaptixC2.11 (AdaptixC2), BackDoor.Havoc.16 (Havoc), BackDoor.Meterpreter.227 (CobaltStrike), Trojan.Siggen9.56514 (AsyncRAT) и Trojan.Clipper.808.

Причем, разрабы из Cavalry Werewolf не ограничиваются единым набором вредоносных ПО и постоянно пополняют свой арсенал.

Поэтому инструменты для проникновения в целевые системы и в последующей в цепочке заражения могут отличаться в зависимости от жертвы.

В целом, исследователи Dr.Web отмечают, что Cavalry Werewolf предпочитают использовать ПО с открытым кодом — как в исходном виде, так и в качестве основы для собственных разработок.

Основными инструментами являются различные бэкдоры с функциональностью обратного шелла, позволяющие дистанционно выполнять команды в зараженных системах.

Хакеры часто применяют Telegram API для управления зараженными компьютерами, а для распространения первой ступени заражения проводят фишинговые рассылки якобы от имени госструктур, используя скомпрометированные email-адреса.

Технические особенности выявленных инструментов Cavalry Werewolf и ссылки на IOCs - в отчете.