Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Новейшие методы атаки GOLD BLADE: интеграция LNK и WebDAV в RedLoader

1
2 мин
В июле 2025 года киберпреступная группировка GOLD BLADE значительно усовершенствовала свои методы атаки, интегрировав вредоносные файлы LNK с ранее известным методом WebDAV. Эти изменения позволили эффективно устанавливать связь командования и контроля (C2) для пользовательского вредоносного ПО RedLoader. Атака начинается с развертывания файла LNK, замаскированного под документ PDF. При запуске этого файла активируется процесс conhost.exe, который использует протокол WebDAV для подключения к домену CloudFlare. В инфраструктуре злоумышленников размещён вредоносный исполняемый файл — переименованная и подписанная версия легитимного Adobe ADNotificationManager.exe, замаскированная под резюме. Этот исполняемый файл расположен рядом с полезной нагрузкой RedLoader первого этапа — netutils.dll. При запуске переименованный ADNotificationManager.exe загружает вредоносную DLL, таким образом инициализируя цепочку заражений. Данная эволюция в методологии атак GOLD BLADE, сочетающая уже известные т
Оглавление
Источник: news.sophos.com
Источник: news.sophos.com

Группировка GOLD BLADE обновила цепочку атак с использованием LNK и WebDAV для распространения RedLoader

В июле 2025 года киберпреступная группировка GOLD BLADE значительно усовершенствовала свои методы атаки, интегрировав вредоносные файлы LNK с ранее известным методом WebDAV. Эти изменения позволили эффективно устанавливать связь командования и контроля (C2) для пользовательского вредоносного ПО RedLoader.

Новая цепочка заражения

Атака начинается с развертывания файла LNK, замаскированного под документ PDF. При запуске этого файла активируется процесс conhost.exe, который использует протокол WebDAV для подключения к домену CloudFlare. В инфраструктуре злоумышленников размещён вредоносный исполняемый файл — переименованная и подписанная версия легитимного Adobe ADNotificationManager.exe, замаскированная под резюме.

Этот исполняемый файл расположен рядом с полезной нагрузкой RedLoader первого этапа — netutils.dll. При запуске переименованный ADNotificationManager.exe загружает вредоносную DLL, таким образом инициализируя цепочку заражений.

Механизм дальнейшего распространения и удержания доступа

  • Полезная нагрузка первого этапа создает запланированную задачу в системе жертвы.
  • Одновременно загружается отдельный исполняемый файл для второго этапа заражения.
  • Запланированная задача с именем BrowserQEBrowserQE_Имя компьютера в Base64 использует процессы PCALua.exe и conhost.exe для запуска RedLoader второго этапа.
  • Полезная нагрузка второго этапа представлена файлом BrowserQE_Имя компьютера в Base64.exe, у которого уникальное имя для каждой жертвы, однако хэш SHA256 остается неизменным во всех экземплярах.
  • Этот исполняемый файл устанавливает устойчивую связь C2, позволяя злоумышленникам поддерживать контроль над заражёнными системами.

Заключение

Данная эволюция в методологии атак GOLD BLADE, сочетающая уже известные технические приёмы с новыми способами исполнения, демонстрирует адаптивность и высокую эффективность группировки в проведении киберопераций. Использование файлов LNK в сочетании с инфраструктурой WebDAV и поддельными легитимными приложениями открывает новые возможности для обхода средств защиты и управления заражёнными системами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Новейшие методы атаки GOLD BLADE: интеграция LNK и WebDAV в RedLoader".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются