11,7 тыс подписчиков

GriefLure: целевой фишинг и вредоносный LotL-лоадер

ВчераВчера

4 мин

Операция GriefLure — это сложная кампания целевого фишинга, нацеленная на старших руководителей Viettel Group, крупнейшей телекоммуникационной компании Вьетнама, а также на сотрудников Медицинского центра Святого Луки на Филиппинах. По данным отчета, злоумышленники выстроили атаку вокруг реального конфликта, связанного с утечкой данных, и использовали подлинные юридические документы, чтобы повысить доверие к рассылке и вынудить получателей открыть вредоносные файлы. Кампания опиралась на сочетание социальной инженерии и техники скрытого запуска вредоносного кода. Жертвам доставляли архив RAR, внутри которого находился вредоносный LNK-файл для Windows. Дополнительно атакующие использовали встроенный бинарный файл ftp.exe в роли Living-off-the-Land (LotL) дроппера, чтобы снизить вероятность обнаружения средствами безопасности. Особую убедительность атаке придавала сама приманка. Злоумышленники применили серию подлинных юридических документов, связанных с действующим спором о нарушении да

Оглавление

Как была построена атака
Что происходило после открытия архива
Техники скрытности и расширенные возможности ВПО

Операция GriefLure — это сложная кампания целевого фишинга, нацеленная на старших руководителей Viettel Group, крупнейшей телекоммуникационной компании Вьетнама, а также на сотрудников Медицинского центра Святого Луки на Филиппинах. По данным отчета, злоумышленники выстроили атаку вокруг реального конфликта, связанного с утечкой данных, и использовали подлинные юридические документы, чтобы повысить доверие к рассылке и вынудить получателей открыть вредоносные файлы.

Как была построена атака

Кампания опиралась на сочетание социальной инженерии и техники скрытого запуска вредоносного кода. Жертвам доставляли архив RAR, внутри которого находился вредоносный LNK-файл для Windows. Дополнительно атакующие использовали встроенный бинарный файл ftp.exe в роли Living-off-the-Land (LotL) дроппера, чтобы снизить вероятность обнаружения средствами безопасности.

Особую убедительность атаке придавала сама приманка. Злоумышленники применили серию подлинных юридических документов, связанных с действующим спором о нарушении данных, а также сфабрикованную жалобу информатора. Такой подход должен был создать у получателя ощущение легитимности и спровоцировать взаимодействие с содержимым архива.

Что происходило после открытия архива

После запуска архив незаметно создавал вредоносный модуль sfsvc.exe на диске, используя механизм полиморфной сборки полезной нагрузки, работающий в фоновом режиме и не показывающий уведомлений. В это же время жертве демонстрировался легитимный PDF-файл-приманка, что позволяло скрыть факт компрометации.

Согласно отчету, весь процесс заражения обычно завершался менее чем за десять секунд и проходил без каких-либо видимых предупреждений для пользователя. Для сокрытия активности применялся пакетный фреймворк, который собирал бинарные фрагменты, замаскированные под документы, что дополнительно затрудняло статическое обнаружение.

Техники скрытности и расширенные возможности ВПО

Поведение вредоносного ПО включало сложные механизмы управления процессами, позволяющие стирать или манипулировать видимыми пользовательскими интерфейсами. Это обеспечивало сохранение скрытности при выполнении команд и действий атакующего.

Fileless execution и Code Injection;
загрузка и выполнение вредоносных DLL-файлов через sfsvc.exe;
обход стандартных системных инструментов, обычно используемых для регистрации и исполнения;
работа без очевидных следов на системе жертвы.

Таким образом, sfsvc.exe выступал как гибкий фреймворк, способный подстраиваться под условия выполнения и команды оператора.

Что делало вредоносное ПО после заражения

После успешной доставки и запуска вредоносное ПО выполняло сразу несколько задач. Среди них — сбор учетных данных из браузеров и инструментов связи, системная разведка, перечисление запущенных процессов, а также возможность создания скриншотов рабочего стола жертвы.

Ключевым элементом работы являлась связь с инфраструктурой управления и контроля C2. Для обмена командами и передачи собранных данных на удаленный сервер использовались HTTPS-запросы. Кроме того, вредоносное ПО применяло XOR-обфускацию, чтобы скрывать полезную нагрузку и команды, усложняя обнаружение и анализ.

Отдельно в отчете отмечается сбор конфиденциальных данных, включая учетные записи, из жестко закодированных путей, связанных с широко используемыми приложениями. Это указывает на заранее продуманную и модульную архитектуру загрузчика, рассчитанную на различные сценарии активации.

Атрибуция и контекст угрозы

По оценке авторов отчета, кампания связана с кластером угроз, ассоциированным с China, и использует bulletproof-hosting провайдера, который помогает подобным операциям в Southeast Asia. Набор техник, сценариев маскировки и психологических приемов указывает на высокую степень подготовки и типичный почерк APT-групп.

Операция GriefLure демонстрирует, как современные злоумышленники совмещают реальную повестку, поддельные документы и скрытые технические механизмы для достижения цели.

Что важно в этой кампании

GriefLure показывает, что современные целевые атаки всё чаще строятся не только на эксплуатации уязвимостей, но и на точной психологической подгонке приманки под конкретную аудиторию. Использование реальных юридических материалов, документов по спору о данных и доверенных тем рассылки резко повышает вероятность успешного заражения.

Главный вывод: сочетание социальной инженерии, LotL-техник, скрытого запуска через RAR и LNK, а также модульной архитектуры ВПО делает подобные кампании особенно опасными для корпоративных и государственных структур.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "GriefLure: целевой фишинг и вредоносный LotL-лоадер".