Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

HumanitarianBait: шпионская кампания через фишинг и LNK-файлы

3 мин
Operation HumanitarianBait — это сложная campaign кибершпионажа, нацеленная преимущественно на русскоязычных individuals и organizations. Злоумышленники используют social engineering, чтобы получить доступ к системам жертв, а затем разворачивают многоэтапную цепочку заражения, рассчитанную на скрытность, закрепление в системе и длительный сбор данных. Атака стартует с фишинговых писем, в которых содержится вредоносный LNK-file, спрятанный внутри RAR-архива. В сообщении используется тема запроса гуманитарной помощи, что помогает эксплуатировать contextual trust — доверие к теме и контексту переписки. После того как жертва открывает файл, запускается скрытый многоэтапный процесс заражения. На экране при этом может отображаться поддельный документ, якобы связанный с humanitarian aid, что отвлекает внимание и маскирует реальную активность вредоносного кода. В основе атаки лежит сильно обфусцированный fileless malicious module на базе Python. Он загружает дополнительные компоненты из GitHub
Оглавление

Operation HumanitarianBait — это сложная campaign кибершпионажа, нацеленная преимущественно на русскоязычных individuals и organizations. Злоумышленники используют social engineering, чтобы получить доступ к системам жертв, а затем разворачивают многоэтапную цепочку заражения, рассчитанную на скрытность, закрепление в системе и длительный сбор данных.

Фишинг начинается с RAR-архива и LNK-файла

Атака стартует с фишинговых писем, в которых содержится вредоносный LNK-file, спрятанный внутри RAR-архива. В сообщении используется тема запроса гуманитарной помощи, что помогает эксплуатировать contextual trust — доверие к теме и контексту переписки.

После того как жертва открывает файл, запускается скрытый многоэтапный процесс заражения. На экране при этом может отображаться поддельный документ, якобы связанный с humanitarian aid, что отвлекает внимание и маскирует реальную активность вредоносного кода.

Python-based malware и загрузка компонентов с GitHub Releases

В основе атаки лежит сильно обфусцированный fileless malicious module на базе Python. Он загружает дополнительные компоненты из GitHub Releases, тем самым маскируя вредоносную активность под legitimate traffic и усложняя обнаружение.

Использование self-contained Python environment, размещенной на GitHub, указывает на высокий уровень технической подготовки злоумышленников. Такая архитектура позволяет быстро обновлять компоненты, повышать устойчивость кампании и снижать риск блокировки отдельных частей цепочки заражения.

Закрепление, обфускация и обход средств обнаружения

Для закрепления в системе модуль создает scheduled tasks, обеспечивая повторный запуск после перезагрузок. Одна из задач выполняется каждые пять минут, что делает присутствие вредоносного кода устойчивым и постоянным.

Файл LNK, используемый в кампании, содержит self-obfuscated content, который исполняется через PowerShell. Это сделано намеренно — для обхода automatic detection и затруднения анализа.

Дополнительно вредоносное ПО применяет anti-sandbox techniques, проверяя наличие определенных файлов на диске. Такая логика помогает ему избегать запуска в анализирующих средах и повышает вероятность успешного проникновения в реальную систему.

Полезная нагрузка защищена с помощью PyArmor — commercial obfuscation tool, существенно усложняющего static analysis и reverse engineering.

Какие данные собирает вредоносное ПО

Встроенный модуль работает как комплексный surveillance tool. Он собирает и передает злоумышленникам широкий спектр конфиденциальной информации, включая:

  • учетные записи и credentials;
  • keystrokes, то есть нажатия клавиш;
  • данные из clipboard в real time;
  • пароли и session cookies из различных web browsers;
  • файлы из пользовательских каталогов, включая важные documents и configuration files.

Кроме того, вредоносная программа обеспечивает remote access через такие applications, как RustDesk и AnyDesk. Это расширяет возможности злоумышленников по наблюдению, управлению системой и дальнейшей эксфильтрации данных.

Экcфильтрация через HTTP и C2-инфраструктуру

Собранные данные загружаются на C2-server, который в настоящее время размещен на commercial VPS. Для передачи информации используются протоколы HTTP, что затрудняет для средств network monitoring различие между legitimate и malicious traffic.

Такой подход снижает вероятность обнаружения и позволяет злоумышленникам дольше сохранять доступ к скомпрометированным системам.

Что говорит кампания о целях злоумышленников

Хотя точная личность атакующих остается неизвестной, набор техник, примененных в Operation HumanitarianBait, указывает на целенаправленный шпионаж. Вероятной целью является сбор intelligence о politically significant individuals или organizations, связанных с humanitarian efforts в русскоязычных регионах.

Сочетание фишинга, обфускации, fileless execution, persistence mechanisms и скрытой эксфильтрации делает эту кампанию особенно опасной. Она демонстрирует не только техническую зрелость злоумышленников, но и их способность адаптировать инструменты под конкретный контекст и доверие потенциальных жертв.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "HumanitarianBait: шпионская кампания через фишинг и LNK-файлы".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются