Кампания «Операция DupeHike», приписываемая злоумышленнику UNG0902, направлена на корпоративные сети в России и в первую очередь на подразделения кадров, расчета заработной платы и внутреннего администрирования. Отчет описывает комплексную цепочку атак, где социальная инженерия сочетается с многоэтапной техникой доставки и удержания доступа через специализированный имплантат и инфраструктуру C2.
Краткое резюме
Атакующие используют целевой фишинг с поддельными документами, имитирующими темы премий и внутренней финансовой политики, чтобы заставить сотрудников открыть вредоносный ZIP-архив. Внутри архива содержатся PDF и LNK-файлы: LNK запускает PowerShell-команду, загружающую имплантат DUPERUNNER, который затем связывается с инфраструктурой управления AdaptixC2. Технический анализ выделяет три этапа заражения и указывает на устойчивую, вероятно, спонсируемую государством мотивацию злоумышленника.
Технический разбор: три этапа
Этап 1 — запуск через LNK и PowerShell
Первый этап начинается с вредоносного LNK-файла, упакованного в ZIP. LNK-инструмент встроен так, чтобы при взаимодействии пользователя выполнить команду PowerShell, которая скачивает бинарный имплантат с удаленного сервера. Этот вектор сочетает в себе две ключевые особенности:
- целевой фишинг для доставки (сообщения, касающиеся премий и финансовых документов);
- взаимодействие пользователя с LNK-файлом как триггер выполнения (задействуется PowerShell).
Этап 2 — имплантат DUPERUNNER
DUPERUNNER — это двоичный файл, написанный на C++, обладающий расширенными возможностями: выполнение команд, сбор системной информации и постоянное взаимодействие с инфраструктурой управления. Имплантат реализует функционал для удаленного управления и эксфильтрации данных, а также умеет применять методы маскировки и запутывания своего присутствия в системе.
Этап 3 — маяк AdaptixC2 и загрузка шелл-кода
Маяк AdaptixC2 первоначально маскируется под файл шрифта (fontawesome.woff). Он работает путем загрузки шелл-кода в память, что обеспечивает скрытую обратную связь с инфраструктурой C2 и снижает вероятность обнаружения на диске. Такой подход облегчает длительное удержание доступа и защищенное взаимодействие между жертвой и управляющей инфраструктурой.
Инфраструктура и ключевые артефакты
- Артефакт 1: URL-адрес, с которого LNK инициирует загрузку имплантата DUPERUNNER.
- Артефакт 2: размещение инфраструктуры AdaptixC2, через которую происходит управление и передача команд.
Отмечается, что инфраструктура настроена для длительного присутствия в целях поддержания связи и управления компрометированными системами.
Соответствие MITRE ATT&CK и применяемые TTP
Анализ действий злоумышленника показывает тесное соответствие ряду техник из MITRE ATT&CK:
- T1566.001 — Spearphishing Attachment: целевой фишинг с вложениями (поддельные документы, связанные с премиями и финансовой политикой).
- T1204.002 — User Execution: Malicious Link: выполнение через взаимодействие пользователя с LNK-файлом.
- T1059.001 — PowerShell: использование PowerShell для загрузки и выполнения имплантата.
- T1036, T1027 — Маскировка и запутывание: переименование и маскировка компонентов, использование файлов-шрифтов и других легитимных форматов.
- T1055.003 — Process Injection: внедрение кода в процесс для скрытого исполнения (описано в контексте загрузки шелл-кода в память).
- T1573 — Encrypted Channel: настройка зашифрованных каналов связи для обеспечения защищенного C2.
Атрибуция и мотивация
Собранные данные указывают на устойчивое присутствие злоумышленника и на сложную организацию кампании, что в совокупности рассматривается как признак государственной поддержки. Целевой выбор — подразделения кадров, payroll и внутренняя администрация — указывает на намерение получить доступ к конфиденциальной внутренней информации и возможностям для дальнейшей разведывательной или контрольно-оперативной активности.
Выводы и значение для корпоративного сектора
Операция DupeHike демонстрирует, как современные целевые фишинговые кампании интегрируют социальную инженерию и продвинутые технические приемы для обхода защит и удержания доступа. Комбинация LNK-загрузчиков, модульных имплантатов и маскированных маяков делает кампанию труднообнаружимой стандартными сигнатурными средствами.
Для организаций, особенно в российских компаниях и подразделениях HR/payroll, важно повышать осведомленность сотрудников о рисках взаимодействия с непроверенными вложениями и внедрять многоуровневые средства обнаружения и защиты, ориентированные на поведенческий анализ и мониторинг активности в памяти.
«Операция DupeHike показывает, что даже хорошо знакомые форматы файлов и привычные рабочие процессы могут стать эффективным каналом для сложных атак с государственным уровнем поддержки.»
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Операция DupeHike: целевой фишинг, DUPERUNNER и AdaptixC2".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.