Специалисты «Перспективного мониторинга» обнаружили попытку распространения вредоносного программного обеспечения с помощью фишинга в организации авиатранспортной отрасли.
Схема развития атаки:
Доставка
Злоумышленники отправили на корпоративную почту сотрудника организации письмо с заголовком «Исх. № 451/63-26 от 23.04.2026 г.» и текстом: «Добрый день, просим передать руководству».
К письму приложен документ «Инструктаж.docx», посвящённый рискам атак и дефицита топлива. Для противодействия этим угрозам в документе предложено ознакомиться с процедурами реагирования. Для этого пользователя просят открыть вложенный в документ архив «Инструктаж.7z».
Установка
Архив «Инструктаж.7z» содержит единственный файл — «Инструктаж.pdf.exe» с двойным расширением для маскировки.
После запуска «Инструктаж.pdf.exe» пользователь получает поддельное сообщение об ошибке, однако на самом деле в это время выполняется распаковка следующей полезной нагрузки explorer.exe.
Файл explorer.exe размещается в директории %TEMP%/n*. Вредоносное ПО мимикрирует под проводник Windows и названием, и иконкой. Для осложнения реверс-инжиниринга используется упаковщик Themida.
Сбор информации
Explorer.exe выполняет поиск в системе файлов с расширениями *.txt, *.csv, *.rtf, *.zip, *.doc, *.docx, *.odt, *.pdf, *.ppt, *.rar, *.xls, *.xlsx и другими. Перечень найденных файлов сохраняется в скрытый файл report_C.json в директории %TEMP%/n* и выгружается на управляющий сервер злоумышленника (C2).
Закрепление
Троян закрепляется в системе с помощью создания объекта WindowsAuditService в ключе реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run и своей резервной копии в %APPDATA%\WindowsAudit\audit_service.exe.
C2-инфраструктура
В качестве C2-сервера ВПО использует сторонний роутер 217.25.220[.]101. Вероятно, он был скомпрометирован и используется как прокси-сервер.
Отличительной чертой C2-взаимодействия является использование для аутентификации HTTP-заголовка X-Password: StickyP4ssw0rd
На момент исследования осуществить C2-взаимодействие с указанным сервером не удалось.
Смежная активность
Также в открытых источниках были найдены другие связанные с explorer.exe файлы: «Настройки Bitrix.msi» содержит в себе CAB-файл SSbySW, из которого создаётся explorer.exe, аналогичный обнаруженному в текущей фишинговой рассылке.
В другой активности используются архив 3D-Komplekt.rar, поддельный установочный файл 3D-Komplekt.msi / OpenVPN-2.7.1.msi / Update_KB839043_26.474.msi, дроппер StickyStrike.exe и стилер explorer.exe.
Меры противодействия
Чтобы предотвратить такую атаку на организацию, эксперты ПМ рекомендуют:
-
проверять и фильтровать входящие электронные письма средствами антивирусной защиты c модулем «Анти-фишинг»:
-
проводить регулярное обучение сотрудников в области защиты от атак с использованием социальной инженерии;
-
проверить ветвь реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run на наличие ключа WindowsAuditService;
-
провести аудит каталога %TEMP% на наличие подозрительных файлов с расширением *.exe (например, explorer.exe) и каталога %APPDATA% на наличие подозрительных скрытых подкаталогов (например, WindowsAudit)
-
выполнить антивирусную проверку на узлах, убедиться, что установлены актуальные базы сигнатур;
-
ограничить доступ к файлам, имеющим отношение к распространению ВПО;
- ограничить доступ к следующему сетевому ресурсу, имеющему отношение к C2-серверам злоумышленников: 217.25.220[.]101.
Индикаторы компрометации
Пути закрепления в системе
|
Ветвь реестра |
HKCU\Software\Microsoft\Windows\CurrentVersion\Run |
|
Объект ветви реестра |
WindowsAuditService |
|
Путь размещения полезной нагрузки |
%TEMP%\n*\ |
|
Путь размещения полезной нагрузки |
%APPDATA%\WindowsAudit\ |
Импланты
|
Фишинговый документ (Инструктаж.docx) |
2e1f469645864c406db885ed02dfe1053c86256819636474cb32517bb1784f5f |
|
Вложенный OLE-объект (oleObject1.bin) |
c64b06ec467306911c3a2dccf44a29d2ffcc8ba77f18a2e72a5249b5ac38506c |
|
7z-архив внутри OLE-объекта (Инструктаж.7z) |
599bccdc3c1164ffa24040e34f2d2c936860ff30ddda177399bd0265cdffa1be |
|
Фишинговый архив (3D-Komplekt.rar) |
42305321a912fa5d8158ea67c7cffc2adccc8f0f1c2b23428931454ab06bd716 |
Дропперы
|
Дроппер (Инструктаж.pdf.exe) |
e9c539b02bd12304173e55a8964dc4213aead308f420db9c0c938bcf4e81fd42 |
|
Дроппер (Настройки Bitrix.msi) |
6f7e162ed2a7dd3bca918521dff9edf52fbab5eebc6f354b4597fde4d3b5571c |
|
Дроппер (SSbySW) |
afd0ee602cc66ccbe531834b9cbb9b39c1da9454ee1c7e820ca843c5cf2e645b |
|
Дроппер (3D-Komplekt.msi) |
bb61c0a7562165c2fef6d68b90db5945e93d26b5bbb0ad0aa0b63bc03c0f0a22 |
|
Дроппер (StickyStrike.exe) |
2456e7e50ddd96cc9d2bef531bbe6eacb93798ea50fe7a7138690e185d5373d6 |
Полезная нагрузка
|
C2-агент (explorer.exe) |
a42d6ef96f9aa111111ffe68d204ef065e867a28ce17037c02ccb57c9f96aab7 |
|
C2-агент (explorer.exe) |
f7e02c06f8075f46587d977c6abf97a72259f13e5e32a2ccc8f3e8045516f99a |
C2-взаимодействие
|
C2-сервер |
217.25.220[.]101 |
|
C2-сервер |
http[://]217.25.220[.]101/upload |
|
Заголовок аутентификации |
X-Password: StickyP4ssw0rd |