Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Изощренные многослойные кибератаки: анализ скриптов и угроз 2025

3
3 мин
В июне 2025 года была зафиксирована серия сложных кибератак, демонстрирующая эволюцию методов доставки вредоносного ПО. Злоумышленники всё чаще применяют запутанные скрипты и легитимные сервисы, пытаясь скрыть свои действия и обходить современные системы безопасности. Особое внимание привлекает кампания Braodo stealer, в которой злоумышленники размещают важные компоненты непосредственно в общедоступных репозиториях GitHub. Это позволяет им: В атаках используются запутанные файлы BAT, содержащие вводящие в заблуждение комментарии, что значительно осложняет процесс анализа. Первый BAT-файл запускает скрытую команду PowerShell, загружающую второй BAT-файл с GitHub. При этом второй файл маскируется под изображение в формате .PNG, что служит дополнительной мерой уклонения от обнаружения. Дальнейшие действия включают поиск дополнительных полезных данных и установление защищённого соединения через TLS 1.2. Полезная нагрузка извлекается из ZIP-архива и работает на основе запутанного Python-скр
Оглавление
Источник: any.run
Источник: any.run

Изощренные кибератаки июня 2025 года: использование запутанных скриптов и легитимных сервисов для обхода защиты

В июне 2025 года была зафиксирована серия сложных кибератак, демонстрирующая эволюцию методов доставки вредоносного ПО. Злоумышленники всё чаще применяют запутанные скрипты и легитимные сервисы, пытаясь скрыть свои действия и обходить современные системы безопасности.

Кампания Braodo stealer: использование GitHub и сложных BAT-файлов

Особое внимание привлекает кампания Braodo stealer, в которой злоумышленники размещают важные компоненты непосредственно в общедоступных репозиториях GitHub. Это позволяет им:

  • легально распространять полезные данные для утечки информации,
  • унижать вероятность обнаружения вредоносного ПО традиционными средствами.

В атаках используются запутанные файлы BAT, содержащие вводящие в заблуждение комментарии, что значительно осложняет процесс анализа. Первый BAT-файл запускает скрытую команду PowerShell, загружающую второй BAT-файл с GitHub. При этом второй файл маскируется под изображение в формате .PNG, что служит дополнительной мерой уклонения от обнаружения.

Дальнейшие действия включают поиск дополнительных полезных данных и установление защищённого соединения через TLS 1.2. Полезная нагрузка извлекается из ZIP-архива и работает на основе запутанного Python-скрипта, в котором строки с вредоносным кодом имеют кодировку Base64.

Инструменты анализа сложных вредоносных кампаний

Для исследования и выявления подобных сложных атак эксперты используют инструменты:

  • ANY.RUN Script Tracer — для трассировки выполнения скриптов в интерактивном режиме;
  • Threat Intelligence Lookup — для поиска последних образцов вредоносного ПО и анализа характеристик кампаний.

Эти инструменты значительно облегчают анализ запутанных скриптов и выявление эксплуатационных особенностей Braodo.

Другие угрозы: JavaScript с обфускацией и PowerShell в атаках

Параллельно с Braodo были зафиксированы атаки с применением:

  • запутанного JavaScript, использующего обфускацию, которая сглаживает поток управления и затрудняет поиск вредоносных строк. В таких сценариях применяются самонаводящиеся функции и сложные циклы, что усложняет статический анализ;
  • PowerShell, который стал ключевым элементом для доставки троянской программы удалённого доступа NetSupport RAT. В одной из кампаний запутанный BAT-файл запускает PowerShell-скрипт, загружающий компоненты клиента NetSupport, что позволяет злоумышленникам получить несанкционированный контроль над компьютерами жертв.

Значение детектирования сложных скриптов и современных методов распространения

Идентификация запутанного поведения скриптов является критически важной задачей для специалистов по кибербезопасности. Инструменты, позволяющие вести журнал выполнения сценариев без необходимости ручной деобфускации, становятся незаменимыми в анализе данных угроз.

Учитывая, что злоумышленники всё чаще используют многоэтапные скрипты и автономные двоичные файлы типа LOLBins, традиционные средства обнаружения не всегда способны выявить ключевые признаки компрометации.

Интегрированный аналитический поиск угроз на платформах вроде ANY.RUN выступает жизненно важным инструментом, позволяющим:

  • расширять охват обнаружения угроз;
  • ускорять расследование инцидентов;
  • быстро сопоставлять подозрительное поведение с известными образцами вредоносных программ и кибератак;
  • улучшать понимание тактик и инструментов, применяемых киберпреступниками.

Данный меняющийся ландшафт киберугроз подчёркивает необходимость в использовании передовых инструментов анализа, способных справляться с высокой сложностью современных методов распространения вредоносного ПО.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Изощренные многослойные кибератаки: анализ скриптов и угроз 2025".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются