Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

APT «Pseudo Hunter»: vhdx-файлы и зашифрованный GitHub

1
3 мин
В августе 2025 года разведывательная лаборатория DeepView выявила серию сложных целенаправленных атак — APT-группу, получившую условное название «Pseudo Hunter». Злоумышленники применяли файлы vhdx как исходный вектор фишинга, а затем эволюционировали, начав использовать репозитории GitHub для распространения зашифрованных полезных данных. Выявленные методы указывают на продуманный подход к компрометации и длительному скрытому присутствию в целевых средах. Атаки начинались с доставки файлов vhdx, замаскированных под легитимные вложения фишинговых писем. После открытия или монтирования такого файла злоумышленники получали доступ к целевой среде. Применение vhdx дает несколько преимуществ злоумышленникам: По мере развития операций «Pseudo Hunter» начал использовать репозитории GitHub для размещения зашифрованных payload’ов. Такие приемы усложняют обнаружение и анализ угроз: «Использование зашифрованных полезных данных означает попытку скрыть вредоносный контент, что усложняет задачу обна
Оглавление
Источник: mp.weixin.qq.com
Источник: mp.weixin.qq.com

В августе 2025 года разведывательная лаборатория DeepView выявила серию сложных целенаправленных атак — APT-группу, получившую условное название «Pseudo Hunter». Злоумышленники применяли файлы vhdx как исходный вектор фишинга, а затем эволюционировали, начав использовать репозитории GitHub для распространения зашифрованных полезных данных. Выявленные методы указывают на продуманный подход к компрометации и длительному скрытому присутствию в целевых средах.

Как работал начальный вектор атаки

Атаки начинались с доставки файлов vhdx, замаскированных под легитимные вложения фишинговых писем. После открытия или монтирования такого файла злоумышленники получали доступ к целевой среде. Применение vhdx дает несколько преимуществ злоумышленникам:

  • возможность скрыть полезные данные внутри виртуального диска;
  • использование привычных для администратора форматов, что повышает вероятность успешного открытия вложения;
  • снижение видимости для традиционных антивирусных сканеров, ориентированных на исполняемые файлы и архивы.

Эволюция тактики: GitHub и зашифрованные полезные данные

По мере развития операций «Pseudo Hunter» начал использовать репозитории GitHub для размещения зашифрованных payload’ов. Такие приемы усложняют обнаружение и анализ угроз:

  • зашифрованные полезные данные не поддаются простому статическому анализу;
  • легитимная платформа хостинга (GitHub) снижает подозрительность трафика и позволяет обходить фильтры;
  • оперативная доставка и обновление payload’ов через репозиторий обеспечивает гибкость и устойчивость кампании.
«Использование зашифрованных полезных данных означает попытку скрыть вредоносный контент, что усложняет задачу обнаружения и анализа для специалистов по безопасности», — указывает отчет DeepView.

Чем это опасно

Интеграция vhdx-атак и размещения зашифрованных payload’ов на GitHub указывает на несколько тревожных тенденций в развитии APT-операций:

  • повышение сложности и скрытности атак: комбинирование разных векторов и легитимных сервисов;
  • затруднение анализа угроз: зашифрованные компоненты требуют дополнительных усилий для дешифровки и детектирования;
  • усиление возможностей шпионажа: методичное управление доставкой и исполнением вредоносного ПО обеспечивает длительное присутствие в сети жертвы.

Рекомендации для организаций

Для уменьшения рисков и повышения готовности к обнаружению подобных кампаний специалисты по безопасности должны рассмотреть следующие меры:

  • усилить контроль и фильтрацию почтовых вложений, включая сканирование и изоляцию файлов vhdx перед их открытием;
  • внедрить процессы Content Disarm & Reconstruction (CDR) для небезопасных вложений;
  • мониторить доступ к внешним репозиториям (включая GitHub) и анализировать необычные запросы к raw- или release-артефактам;
  • инструменты Threat Hunting настроить на поиск подозрительных монтирований виртуальных дисков и сессий, связанных с запуском файлов из vhdx;
  • применять детекцию аномалий в трафике и поведенческий анализ для выявления скрытых каналов C2 и загрузки зашифрованных payload’ов;
  • иметь процедуру быстрой реакции, включающую изоляцию скомпрометированных хостов и анализ загруженных образов vhdx;
  • обучать сотрудников распознаванию фишинга и правилам безопасной работы с вложениями и внешними репозиториями.

Вывод

Обнаруженная DeepView кампания «Pseudo Hunter» демонстрирует, как злоумышленники комбинируют привычные форматы файлов и легитимные облачные сервисы, чтобы усложнить обнаружение и обеспечить устойчивую доставку вредоносного ПО. Эта тенденция подчеркивает необходимость перехода от традиционных сигнатурных подходов к многоуровневым стратегиям обнаружения, включающим анализ поведения, мониторинг внешних репозиториев и проактивный Threat Hunting.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "APT «Pseudo Hunter»: vhdx-файлы и зашифрованный GitHub".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются