В октябре 2025 года исследователи выявили сложную целенаправленную кибератаку против оборонного сектора, в которой злоумышленники использовали многоуровневую упаковку и тактики обхода обнаружения. Вектор — ZIP-архив, замаскированный под PDF-документ, якобы относящийся к военным операциям. Атака сочетает социальную инженерию и технические приемы постэксплуатации, что делает её типичным примером продвинутого кибершпионажа, вероятно поддерживаемого государством.
Краткое описание сценария атаки
Схема атаки была следующей:
- Жертве отправлялся ZIP-файл, визуально представлявшийся PDF-документом с информацией по военным операциям.
- При попытке открыть файл срабатывала lure-функция через файл LNK, который запускал встроенные команды PowerShell.
- PowerShell-скрипт извлекал вложенный ZIP в целевой каталог и выполнял дополнительные команды для закрепления вредоносного ПО в системе.
- Вредонос проверял характеристики окружения (например, количество LNK-файлов и запущенных процессов) для обхода «песочниц» и автоматизированных средств анализа.
- Ключевая цель — развёртывание скрытого SSH-сервиса, замаскированного под легитимное ПО, а также настройка скрытой Tor-службы с использованием протокола obfs4.
- Через эти каналы злоумышленники получали удалённый доступ к сервисам SSH, RDP, SFTP и SMB.
- Для безопасного взаимодействия использовались предгенерированные ключи RSA, встроенные в вредоносное ПО.
Технические детали обхода обнаружения
Атака демонстрирует несколько технических приёмов, направленных на минимизацию шансов быть замеченной:
- Многоуровневая упаковка: вложенные ZIP-архивы затрудняют статический анализ и автоматическую распаковку.
- Маскировка LNK: ярлык запускает PowerShell-команды, что позволяет обойти проверку типов файлов по расширению.
- Проверка среды выполнения: вредонос намеренно проверяет признаки анализа (минимальное количество LNK и число процессов) и прекращает активность в неподходящих условиях.
- Скрытые каналы связи: развёртывание Tor с obfs4 маскирует C2-трафик под обычную сеть и затрудняет корреляцию соединений.
- Инструменты постэксплуатации: установка SSH-сервиса и использование встроенных RSA-ключей упрощают дальнейшее управление и перемещение по сети жертвы.
Цели и предполагаемая мотивация
Документ-приманка был специально нацелен на персонал белорусских ВВС и намекал на интерес к возможностям беспилотных летательных аппаратов. В отчёте отмечается возможная связь с известными группами злоумышленников, такими как Sandworm (APT44/UAC-UAC-0125), хотя степень достоверности таких утверждений низкая из‑за отсутствия чётких закономерностей.
«Атака является примером передовых усилий по кибершпионажу, спонсируемых государством, включающих элементы социальной инженерии с техническими контрмерами для скрытого доступа к военным сетям.»
Последствия и риски
Даже при низкой уверенности в атрибуции инцидент вызывает серьёзные опасения:
- Подобные техники позволяют сохранять долгосрочный скрытый доступ к критическим системам военной инфраструктуры.
- Использование предгенерированных ключей и скрытых каналов снижает следы активности и усложняет расследование инцидентов.
- Рост числа инцидентов в Восточной Европе указывает на эволюцию тактик и повышение уровня угроз для районов, подверженных конфликтам.
Рекомендации по защите
Практические меры для повышения устойчивости к подобным атакам:
- Усилить проверку вложений: блокировать или изолировать ZIP-архивы, присылаемые как документы; рассматривать открытие вложений только в контролируемых средах.
- Ограничить исполнение LNK и PowerShell-скриптов: внедрить политики AppLocker/Defender Application Control и ограничить использование PowerShell до управляемых сценариев.
- Настроить EDR/IDS на обнаружение аномалий: отслеживать запуск скрытых сервисов, создание сетевых слушателей и непривычную активность Tor/obfs4.
- Фильтровать исходящий трафик: блокировать или контролировать Tor-потоки и нестандартные каналы для C2; применять egress-фильтрацию и DPI где возможно.
- Управление ключами и доступом: мониторить появление неавторизованных SSH-сервисов и использование встроенных ключей RSA; применять централизованное управление ключами.
- Повышать осведомлённость персонала: обучение распознаванию фишинга и опасных вложений, особенно среди сотрудников, работающих с военной информацией.
- Проведение регулярного аудита и упражнений по инцидент-реcпонсу: моделирование атак с многоуровневой упаковкой и отработка процедур реагирования.
Инцидент показывает, что злоумышленники продолжают комбинировать социальную инженерию и продвинутые технические приёмы. Военным организациям и подрядчикам следует считать такие угрозы реальными и поддерживать высокий уровень кибергигиены и мониторинга.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Многоуровневая кибератака: ZIP/LNK, PowerShell, скрытый SSH через Tor obfs4".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.