Содержание:
- Введение
- Ключевые цели
- Затронутые отрасли
- Географический фокус
- Геополитический контекст
- Цепочка заражения
- Хронология деятельности
- Первоначальные результаты
- Изучение документов-приманок
- Технический анализ
- Этап 1 – Доставка вредоносного архива
- Этап 2 – Выполнение вредоносного ярлыка
- Этап 3 – JavaScript-загрузчик HOPPINGANT
- Инфраструктура и атрибуция
- Заключение
- SEQRITE Protection
- Индикаторы компрометации (IOC)
- MITRE ATT&CK Картографирование
- Авторы
Введение
Seqrite Команда Labs APT отслеживает угрозы по всему миру и недавно выявила кампанию, нацеленную на несколько стран. Также ведется работа на Ближнем Востоке, с учетом текущей геополитической напряженности. Интерес к этой кампании вызывает то, что она нацелена на разные регионы в схожие сроки, используя при этом одни и те же методы заражения.
В этом блоге мы проанализируем цепочку заражения, использованную в этой кампании, которая начинается со вредоносного архива и в конечном итоге приводит к развертыванию легитимного инструмента, используемого злоумышленником в своих целях. Мы также рассмотрим инфраструктуру, используемую в кампании, где злоумышленники используют общедоступные анонимные сайты обмена файлами для размещения и распространения своих вредоносных программ.
Наконец, мы также сопоставляем методы, использованные в этой кампании, с фреймворком MITRE ATT&CK и рассматриваем инфраструктуру, используемую злоумышленниками.
Ключевые цели
Затронутые отрасли
- Государственные органы
- Оборона и военные организации
- Департаменты иностранных дел и международного сотрудничества
- Политические и дипломатические институты
- энергетический и стратегический ресурсный секторы
Географический фокус
- Алжир
- Монголия
- Украина
- Кувейт
Геополитический контекст
Страны, ставшие объектами этой кампании, на первый взгляд могут показаться несвязанными, но каждая из них занимает ключевое положение в нынешней геополитической обстановке. Украина по-прежнему находится в центре активного конфликта с Россией, и гибридные методы будут усиливаться по мере приближения к 2026 году. Алжир, один из крупнейших экспортеров энергоносителей в Северной Африке, находится на пересечении конкурирующих интересов Европы, России и Китая. Это особенно актуально. соответствующие По мере того как Алжир и Марокко сближаются, а Северная Африка приближается к центру региональной политики США.
Положение Монголии становится все более сложным по мере того, как... недавно Укрепление связей с Китаем и Россией при одновременном сохранении партнерских отношений с Западом сделало Монголию ценным объектом разведки для множества конкурирующих государственных структур. Приманка, используемая против Монголии: «Расширение сотрудничества с Китаем», напрямую отражает эту напряженность. Кувейт остается ключевым партнером в сфере безопасности в Персидском заливе, продолжая деятельность по закупкам вооружений, а регион Персидского залива в целом продолжает сталкиваться с дестабилизирующей военной активностью и стратегической конкуренцией.
Цепочка заражения
Хронология деятельности
На следующей временной шкале показана последовательность кампаний, которые мы наблюдали в ходе нашего исследования.
Первоначальные результаты
В ходе поиска вредоносных фишинговых угроз первая интересная угроза, связанная с этой кампанией, была обнаружена на VirusTotal, где мы нашли файл с именем وزارة_السكن_والعمران_والمدينة.png.zip. Согласно имеющейся информации, файл был отправлен из Алжира 24 февраля. Название файла переводится как «Министерство жилищного строительства, городского развития и города», что предполагает, что злоумышленники выдают себя за официальное государственное учреждение. Исходя из этой системы именования, злоумышленники нацелились на сотрудников государственных органов, отвечающих за жилищное строительство, городское развитие или муниципальное управление. Когда мы впервые столкнулись с этим элементом целевого фишинга, мы первоначально предположили, что это может быть региональная атака, нацеленная на конкретную страну.
Однако, продолжая исследование, мы обнаружили еще один образец, использующий ту же инфраструктуру и аналогичные методы. Этот образец был нацелен на Монголию и использовал приманку Хятад улстай хамтын ажиллагаагаа өргөжүүлж байна.zip. После перевода имени файла, которое «Расширение сотрудничества с Китаем» Это позволяет предположить, что приманка предназначена для лиц, работающих в государственных учреждениях, дипломатических представительствах или организациях, занимающихся международным сотрудничеством и внешней политикой.
В ходе дальнейшего мониторинга в марте мы обнаружили два дополнительных образца, которые, по всей видимости, являются частью той же кампании. Одна из приманок называлась Algerian Ukrainian proposals for cooperation.zip, что отсылает к сотрудничеству между странами и, вероятно, нацелена на лиц, занимающихся дипломатическими отношениями, правительственные ведомства или организации, участвующие в международных партнерствах. Другая приманка, которую мы недавно обнаружили, использует название Weapons requirements for the Kuwait Air Force.zip, что предполагает, что злоумышленники могут пытаться атаковать оборонные или военные структуры, особенно те, которые занимаются закупками, логистикой или стратегическим планированием.
Изучение документов-приманок
Первый файл из этой кампании, который мы обнаружили в реальных условиях, назывался وزارة_السكن_والعمران_والمدينة.png.zip. Название файла написано на арабском языке и переводится как «Министерство жилищного строительства, городского развития и города».
ZIP-архив содержит два файла: دعوة للمشاركة.lnk, что переводится как «Приглашение к участию.lnk», и другой файл с именем وزارة_السكن_والعمران_والمدينة.png, что означает «Министерство жилищного строительства, городского развития и города.png». Судя по названиям файлов, оба документа выглядят подлинными и, вероятно, предназначены для того, чтобы обманом заставить жертв открыть их.
Изучив поддельное изображение, мы обнаружили, что логотип принадлежит одному из официальных министерств Алжира. Это позволяет предположить, что злоумышленники, вероятно, использовали этот логотип для нацеливания на жертв, которые могут быть связаны с государственными учреждениями или соответствующими организациями.
Второй найденный нами образец был отправлен вскоре после того, как был опубликован первый. Первоначально образец был упакован в ZIP-файл с названием «Хятад улстай хамтын ажиллагаагаа өргөжүүлж байна.zip», что переводится как «Расширение сотрудничества с Китаем». ZIP-архив содержит два файла: Хятад улстай хамтын ажиллагаагаа өргөжүүлж байна.lnk, что означает «Расширение сотрудничества с Китаем», и изображение-приманку Мон-Атом ХХК.jpg.
На изображении представлен логотип компании. MonAtom LLCЭто государственная компания в Монголии, отвечающая за разведку урана и развитие атомной энергетики. Это говорит о том, что злоумышленники пытались сослаться на организацию, связанную с ядерным или энергетическим сектором Монголии, или выдать себя за неё. Третий обнаруженный нами вредоносный код появился в самом начале марта и назывался Algerian Ukrainian proposals for cooperation.zip.
Дальнейшее изучение архива показало, что он содержит два файла: Algerian Ukrainian proposals for cooperation.lnk и MHUV.png. Согласно полученным данным, этот файл был загружен из Украины. Интересно, что он содержит тот же логотип, что и в первом образце, который был нацелен на Алжир и содержал ссылки на Министерство жилищного строительства, городского развития и город. Анализируя хронологию событий и тематику заманивания, мы пришли к выводу, что один и тот же злоумышленник, вероятно, нацелен как на Украину, так и на Алжир, используя одну и ту же заманивающую тактику и фокусируясь на схожей области интересов в своих атаках.
Итак, последний найденный нами образец, датированный 4 марта, — это файл WeaponsrequirementsfortheKuwaitAirForce.zip, первоначально загруженный из Италии. Однако, изучив содержимое файла, мы обнаружили, что целью атаки был другой географический регион. Найденный нами ZIP-архив содержит еще два файла: Weapons requirements for the Kuwait Air Force.lnk и Kuwait Armed Forces.png.
На приманке изображена официальная эмблема Вооруженных сил Кувейта, которая, вероятно, использовалась для придания файлу легитимного вида и завоевания доверия жертв этой преступной группы.
Помимо упомянутых выше приманок на основе изображений, злоумышленник также использует еще один документ-приманку с удаленного сервера управления и контроля, который является частью более позднего этапа цепочки заражения.
Однако поддельные документы были полностью заполнены нулевыми значениями, что, по нашему мнению, вероятно, использовалось для отвлечения внимания жертв. В этом разделе мы рассмотрели набор поддельных документов в виде изображений и документов с заполненными нулевыми значениями. В следующем разделе мы рассмотрим технический анализ всей цепочки заражения, используемой злоумышленником.
Технический анализ
В этом разделе мы рассмотрим технические детали цепочки заражения, использованной в этой кампании. Как упоминалось ранее, наблюдаемые нами кампании используют практически одну и ту же методику, несмотря на различия в документах-приманках. Для более наглядного объяснения поведения мы сосредоточимся на самом последнем образце.
Заражение начинается с ZIP-архива, содержащего файл ярлыка и изображение-приманку. Когда жертва взаимодействует с файлом ярлыка, запускаются следующие этапы атаки. На более поздних этапах цепочки заражения загружаются дополнительные компоненты с общедоступного сайта обмена файлами. Злоумышленники в конечном итоге используют Rclone, законный инструмент для целей эксфильтрации.
Этап 1 – Доставка вредоносного архива
Первоначальным обнаруженным нами вектором фишинга был ZIP-файл под названием Weapons requirements for the Kuwait Air Force.zip.
ZIP-архив содержит два файла: «Требования к вооружению для ВВС Кувейта» (Hardes requirements for the Kuwait Air Force.lnk) и официальный логотип Вооруженных сил Кувейта. Файл LNK содержит вредоносную команду PowerShell, которая запускает следующий этап выполнения, который мы рассмотрим в следующем разделе.
Этап 2 – Выполнение вредоносного ярлыка
Изучив содержимое файла LNK, мы обнаружили, что он содержит команду PowerShell, которая подключается к анонимному файлообменнику filebulldogs[.]com для загрузки дальнейшего и окончательного файла. полезная нагрузкаЭто JavaScript-загрузчик, который мы отслеживаем под псевдонимом HOPPINGANT.
Изучив аргументы командной строки вредоносного LNK-файла, мы обнаружили, что команда меняет каталог на $ENV:Temp, загружает JavaScript-файл с именем f.js с адреса hxxps://filebulldogs[.]com/uploads/AVQB61TVOX/f.js с помощью Invoke-WebRequest, сохраняет его в каталоге Temp, а затем выполняет загруженный скрипт для перехода к следующему этапу атаки.
В следующем разделе мы рассмотрим загрузчик JavaScript. ХОПИНГАНТ Как мы обнаружили, этот файл уникально используется во всех упомянутых нами кампаниях, что обеспечивает согласованность в выполнении кампаний. Теперь давайте рассмотрим, как работает загрузчик.
Этап 3 – JavaScript-загрузчик HOPPINGANT
После изучения файла f.js, который мы назвали загрузчиком HOPPINGANT, мы обнаружили, что он содержит JavaScript-код Windows Script Host (WSH), который создает объект Wscript.Shellobject и выполняет две команды PowerShell, закодированные в Base64. Эти команды выполняются с использованием аргумента powershell -enc, что позволяет злоумышленнику скрыть фактические инструкции PowerShell внутри закодированных данных. После расшифровки команд PowerShell, закодированных в Base64 и выполненных злоумышленником, мы обнаружили, что файл содержит JavaScript-код Windows Script Host (WSH), который создает объект Wscript.Shellobject и выполняет две команды PowerShell, закодированные в Base64. ХОПИНГАНТ В ходе исследования мы заметили, что скрипт выполняет множество действий для получения дополнительных полезных нагрузок и подготовки системы к утечке данных.
Сначала скрипт меняет рабочий каталог на папку Temp и загружает файл с именем document.pdf с удалённого сервера, размещённого на filebulldogs.com. Это тот самый документ-приманка, о котором мы упоминали ранее, и который содержит нулевые байты, чтобы отвлечь жертву.
Скрипт также загружает с того же удалённого сервера ещё один архив с именем a.zip и извлекает его содержимое. После извлечения ZIP-файла мы обнаружили исполняемый файл с именем l.exe, который затем копируется в каталог профиля пользователя и запускается. При дальнейшем анализе мы установили, что l.exe является легитимным программным обеспечением, Rclone, а именно версией v1.70.3.
После запуска исполняемого файла скрипт восстанавливает пароль, используя простую процедуру декодирования на основе операции XOR из массива целочисленных значений. Используя этот декодированный пароль, скрипт входит в общедоступный сервис удаленного хранилища Mega, создавая новый удаленный профиль с именем пользователя oliwiagibbons@onionmail[.]org и декодированным паролем. Адреса электронной почты, использованные во всех четырех кампаниях, отличаются друг от друга.
После установления удалённого соединения исполняемый файл l.exe используется для сбора и загрузки файлов из системы жертвы. Скрипт нацелен на документы из каталога Desktop, включая файлы .doc, .docx, .pdf и .txt. Кроме того, он также пытается извлечь данные сессии Telegram из каталога Telegram Desktop\tdata. Собранные файлы затем загружаются в хранилище Mega, что позволяет злоумышленникам удалённо получить украденные данные. Угроза использует легитимное программное обеспечение и общедоступные сервисы для извлечения данных из системы жертвы. В следующем разделе мы рассмотрим инфраструктуру и атрибуцию, связанные с этой кампанией.
Инфраструктура и атрибуция
В ходе нашего исследования мы обнаружили, что эта кампания использует общедоступные сервисы для размещения и доставки вредоносных программ. В отличие от традиционных APT-операций, которые развертывают выделенную инфраструктуру управления и контроля, этот злоумышленник полностью построил свою деятельность на основе легитимных общедоступных платформ, что значительно затрудняет обнаружение на уровне сети.
Первоначально мы обнаружили, что основным сетевым артефактом, связанным с этой кампанией, является анонимный файлообменник filebulldogs[.]com, который служит единственным сервером-заглушкой на протяжении всей цепочки заражения. Каждая наблюдаемая нами кампания, будь то атака на Алжир, Монголию, Украину или Кувейт, использует один и тот же домен для размещения загрузчика JavaScript HOPPINGANT (f.js), архива полезной нагрузки (a.zip) и документов-приманок (document.pdf). Однако злоумышленник меняет путь загрузки для каждой кампании, используя разные имена каталогов, такие как /uploads/AVQB61TVOX/, /uploads/OKW5RN48ZJ/ и /uploads/F1OQY9GU84/. Мы считаем, что это помогает разделить кампании и снижает риск одновременного удаления всех полезных нагрузок. Это также позволяет злоумышленникам запускать несколько кампаний за короткие промежутки времени.
Теперь перейдём к аспекту кражи данных. Мы видим, что злоумышленник использует MEGA[.]nz, общедоступный облачный сервис хранения данных, в качестве удалённой точки доступа для украденных данных. Все учётные записи MEGA, используемые в ходе кампаний, зарегистрированы под определёнными учетными записями. onionmail.org Адреса электронной почты — это анонимный почтовый сервис, популярный среди злоумышленников из-за отсутствия проверки личности. В ходе анализа различных вариантов мы выявили четыре недавно зарегистрированных учетных записи MEGA:
- coreyroberson@onionmail[.]org – зарегистрирован 17 февраля 2026 г.
- keatonwalls@onionmail[.]org – зарегистрирован 20 февраля 2026 г.
- oliwiagibbons@onionmail[.]org
- theresaunderwood@onionmail[.]org
Учетные данные, используемые для этих учетных записей, хранятся внутри загрузчика HOPPINGANT и скрыты с помощью простого метода кодирования XOR с тем же значением ключа, равным 56. Этот ключ используется повторно во всех проанализированных нами образцах кампаний. Кроме того, параметры конфигурации Rclone остаются неизменными во всех кампаниях, включая 12 потоков, 12 передач и ограничение пропускной способности в 100 МБ. Повторное использование одного и того же ключа кодирования и идентичных настроек Rclone указывает на то, что все наблюдаемые образцы, вероятно, являются частью одной и той же скоординированной кампании.
В хранилище находился только один аккаунт под ником «Corey Roberson», содержащий файлы размером около 4 КБ. В этих файлах внутри документов, имеющих случайные имена, записаны бессмысленные данные.
На данном этапе мы не связываем эту кампанию с каким-либо известным субъектом угроз. Однако характер атак на правительственные, оборонные, дипломатические и энергетические секторы в таких странах, как Алжир, Монголия, Украина и Кувейт, в сочетании с использованием приманок на геополитическую тематику, позволяет предположить, что эта деятельность в целом соответствует сбору разведывательной информации, а не финансовым киберпреступлениям. Мы отслеживаем эти кампании в рамках операции. CamelCloneСхема нацеливания указывает на субъекта, заинтересованного в мониторинге внешнеполитических позиций, оборонного потенциала и дипломатических связей государств, участвующих в соперничестве между крупными державами.
Заключение
Seqrite В ходе анализа данных, проведенного компанией Labs, было выявлено несколько кампаний, которые мы отслеживаем. Операция «Верблюжий клон»В ходе нашего расследования мы обнаружили множество образцов, нацеленных на правительственные, оборонные и дипломатические темы в Алжире, Монголии, Украине и Кувейте за короткий промежуток времени. Злоумышленники используют ZIP-архивы с документами-приманками для запуска цепочки заражения.
Одна из интересных особенностей этой кампании заключается в том, что злоумышленник не использует традиционную инфраструктуру управления и контроля. Вместо этого полезные нагрузки размещаются на общедоступном файловом сервисе filebulldogs[.]com, а украденные данные загружаются в хранилище MEGA с помощью легитимного инструмента Rclone.
В ходе анализа четырех кампаний мы наблюдали одно и то же. ХОПИНГАНТ Загрузчик, повторное использование одного и того же ключа XOR для декодирования пароля и схожие параметры конфигурации Rclone. Эти сходства указывают на то, что образцы, вероятно, являются частью одной и той же операции.
На данном этапе мы не связываем эту деятельность ни с одной известной террористической группировкой. Однако выбор приманок и секторы, упомянутые в документах-приманках, указывают на цель сбора информации. Мы продолжаем отслеживать эту деятельность на предмет совпадений и будем сообщать обновления, если будут выявлены дополнительные кампании, связанные с этой операцией.
SEQRITE Protection
Lnk.Trojan.50485
Lnk.Trojan.50481.GC
Script.Trojan.50480.GC
Индикаторы компрометации (IOC)
Хеш (SHA-256)Файл
| 31f1a97c72f596162f0946df74838d3bef89289ce630adba8791c0f3220980ee | وزارة_السكن_والعمران_والمدينة.png.zip |
| 51af876b0f7fde362c69219f7dec39f7fb667fb53dc5fe2cbdf841d6c5951460 | Weapons%20requirements%20for%20the%20Kuwait%20Air%20Force.zip |
| 27d7a398a58c12093bc49f7144dac2f079232768096d0558c226ea5c53782e29 | Алжирско-украинские предложения о сотрудничестве.zip |
| 4a0e2649f89e11121ffe55546ee081ac07472db650d094314414ebf26fcb7a8e | Хятад улстай хамтын ажиллагаагаа өргөжүүлж байна.zip |
| 92962bfa6df48ec0f13713c437af021f4138dc5a419bc92bc8a376d625a6519a | دعوة للمشاركة.lnk |
| 1d0ea66d347325902e20a12e1f2f084be45d3d6045264e513dcc420b9928013c | Требования к вооружению для ВВС Кувейта. |
| 2671e1f43b2e5911310c5b3f124c076055eec5dee4e596854332ffcf791fd740 | Алжирско-украинские предложения по сотрудничеству. |
| 2902cdee050a60c3129b4bb84e74ddda7b129c3473556f689d83609d9a5981a7 | Хятад улстай хамтын ажиллагагаа өргөжүүлж байна.lnk |
| 630ac67d8db777ae0b93e066bd13b21908e79f23a41a64448f0a4ea38c063a44 | ф.дж |
| 230a22a1f1800f11718b43a7ce9390d2ef0fa9dc212d954c8fafbfbe997bbbef | ф.дж |
| 62c477c0827752ffeb8ea243497eef1c666fc41025d287909d021bceb5b8e699 | ф.дж |
| 2dcaaedfad798dad87f27aef39885d2879825c4c8bed1dcd9e863aba0d463103 | ф.дж |
| 3e36b396c4cb71b8eaae2300c21bec26700b27ce5f6be83ef6b86d214e294c8b | l.exe |
Адрес электронной почты
| oliwiagibbons@onionmail[.]org |
| theresaunderwood@onionmail[.]org |
| keatonwalls@onionmail[.]org |
| coreyroberson@onionmail[.]org |
URL-адреса
| hxxps://filebulldogs[.]com/uploads/AVQB61TVOX/f.js |
| hxxps://filebulldogs[.]com/uploads/OKW5RN48ZJ/f.js |
| hxxps://filebulldogs[.]com/uploads/F1OQY9GU84/f.js |
| hxxps://filebulldogs[.]com/uploads/82WX5GP8CI/f.js |
| hxxps://filebulldogs[.]com/uploads/AVQB61TVOX/document.pdf |
| hxxps://filebulldogs[.]com/uploads/OKW5RN48ZJ/document.pdf |
| hxxps://filebulldogs[.]com/uploads/F1OQY9GU84/document.pdf |
| hxxps://filebulldogs[.]com/uploads/82WX5GP8CI/document.pdf |
| hxxps://filebulldogs[.]com/uploads/AVQB61TVOX/a.zip |
| hxxps://filebulldogs[.]com/uploads/OKW5RN48ZJ/a.zip |
| hxxps://filebulldogs[.]com/uploads/F1OQY9GU84/a.zip |
| hxxps://filebulldogs[.]com/uploads/82WX5GP8CI/a.zip |
MITRE ATT&CK Картографирование
тактикаИдентификатор техникиНазвание техники
| Первоначальный доступ | T1566.001 | Фишинг: Целевое фишинговое вложение |
| Типы | T1204.002 | Пользовательское выполнение: вредоносный файл |
| T1059.001 | Интерпретатор команд и сценариев: PowerShell | |
| T1059.007 | Интерпретатор команд и сценариев: JavaScript | |
| Уклонение от защиты | T1027 | Замаскированные файлы или информация |
| T1218 | Выполнение системного двоичного прокси-файла | |
| Управление и контроль | T1071.001 | Протокол прикладного уровня: веб-протоколы |
| T1105 | Входной инструмент передачи | |
| | T1005 | Данные из локальной системы |
| T1213 | Данные из информационных хранилищ | |
| эксфильтрации | T1567.002 | Эксфильтрация в облачное хранилище |
Авторы
- Прия Патель
- Картик Дживани
- Сатвик Рам Пракки
