Эксперты по кибербезопасности выявили новую угрозу под названием Water Curse, которая использует взломанные репозитории на GitHub для проведения изощренных многоэтапных атак с вредоносным ПО.
«Это ПО позволяет воровать данные — включая учётные записи, информацию из браузеров и токены сессий — а также получать удаленный доступ и сохранять долгое присутствие на заражённых устройствах», — объясняют исследователи Trend Micro Джовит Саманьего, Айра Марсело, Мохамед Фахми и Габриэль Николета в своем докладе.
Наблюдаемая с прошлого месяца кампания создаёт репозитории с вроде бы безобидными инструментами для пентестинга, но внутри файлов конфигурации Visual Studio скрываются вредоносные программы, такие как SMTP-спаммер и Sakura-RAT.
Арсенал Water Curse включает множество различных инструментов и языков программирования, что подчёркивает их умение создавать сложные атаки на цепочки поставок, используя украденные данные разработчиков и размывая границы между тестовыми инструментами и распространением вредоносного ПО.
«При запуске вредоносные модули активируют запутанные многоступенчатые цепочки заражения, используя сложные скрипты на Visual Basic Script (VBS) и PowerShell», — рассказывают специалисты. «Эти скрипты скачивают зашифрованные архивы, распаковывают приложения на базе Electron и собирают обширную информацию о системе».
Атаки сопровождаются приемами обхода отладки, повышением привилегий и методами закрепления в системе. Кроме того, скрипты PowerShell используются для ослабления защиты и блокировки возможностей восстановления системы.
Группа Water Curse считается финансово мотивированной: она занимается кражей учётных записей, перехватом сессий и перепродажей нелегального доступа. Кампания связана с 76 аккаунтами GitHub и ведёт активность, по оценкам, с марта 2023 года.
Появление Water Curse демонстрирует, как злоумышленники злоупотребляют доверием к популярным платформам вроде GitHub, применяя их для распространения вредоносного ПО и атак на цепочки поставок.
«В их репозиториях находят вредоносные программы, обходчики защиты, игровые читы, аимботы, инструменты для работы с криптокошельками, OSINT-сборщики, спам-боты и украденные учётные данные», — сообщают эксперты Trend Micro. «Это говорит о многосторонней стратегии, сочетающей киберпреступность с желанием быстрой наживы».
«Их инфраструктура и способы работы ориентированы на скрытность, автоматизацию и масштабируемость, а похищенные данные выводятся через Telegram и публичные файлообменники».
Обнародование данных совпало с выявлением нескольких кампаний, использующих популярную методику ClickFix для распространения различных семейств вредоносного софта, включая AsyncRAT, DeerStealer (через загрузчик Hijack Loader), Filch Stealer, LightPerlGirl и SectopRAT (также через Hijack Loader).
AsyncRAT — один из многих доступных троянов удалённого доступа (RAT), который с начала 2024 года используют неизвестные хакеры для атак на тысячи компаний из разных секторов. Об отдельных случаях этой кампании сообщала компания Forcepoint в августе 2024 и январе 2025 года.
«Этот метод позволяет вредоносным программам обходить стандартные системы защиты, особенно благодаря использованию временных туннелей Cloudflare для доставки зараженных компонентов с якобы легитимных ресурсов», — объясняет Halcyon. «Туннели предоставляют злоумышленникам краткосрочные и незарегистрированные поддомены, которые воспринимаются системами безопасности как доверенные, что сильно усложняет их блокировку».
«Поскольку инфраструктура создаётся динамически с помощью легальных сервисов, защитникам трудно отличить злонамеренную активность от обычных DevOps или IT-операций. Такая тактика позволяет распространять вредоносное ПО без взлома серверов и использования устойчивого хостинга, увеличивая масштаб и скрытность кампании».
Также зафиксирована активная фишинговая кампания, направленная на организации в Европе — Испании, Португалии, Италии, Франции, Бельгии и Нидерландах. В письмах с поддельными счетами содержатся ссылки на Sorillus RAT (известный также как Ratty RAT).
Ранее подобные атаки распространяли вредоносное ПО среди бухгалтеров и налоговых консультантов под видом налоговых деклараций, используя технику HTML smuggling для маскировки заражённых файлов.
Цепочку атаки, описанную Orange Cyberdefense, составляют похожие фишинговые письма, призывающие открыть PDF с ссылкой на OneDrive. В документе, размещённом в облаке, необходимо нажать кнопку «Открыть документ».
При нажатии пользователя перенаправляют на вредоносный веб-сервер, который выполняет роль системы распределения трафика (TDS): он проверяет запрос и решает, запускать ли следующий этап заражения. Если система подходит, отображается безобидный PDF, а в фоне незаметно скачивается JAR-файл, который способствует установке Sorillus RAT.
Sorillus — это вредоносное ПО на базе Java, впервые выявленное в 2019 году. Оно работает на разных платформах, умеет собирать конфиденциальные данные, скачивать и загружать файлы, делать снимки экрана, записывать звук, фиксировать нажатия клавиш, выполнять произвольные команды и даже удалять себя. Ещё большей опасности добавляет наличие множества модифицированных версий трояна в открытом доступе.
Выяснили, что эти атаки являются частью крупной кампании, распространяющей SambaSpy среди пользователей в Италии. По данным Orange Cyberdefense, SambaSpy относится к семейству вредоносного ПО Sorillus.
«Операция демонстрирует искусное сочетание легитимных сервисов — таких как OneDrive, MediaFire и платформ туннелирования Ngrok и LocaltoNet — для обхода систем защиты», — говорят эксперты. «Повторяющееся использование бразильского португальского в вредоносных элементах указывает на вероятное участие хакеров из Бразилии».
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru