Содержание:
- Введение:
- Ключевые цели:
- Инфекционная цепь:
- Первые результаты кампании:
- Анализ приманок:
- Технический анализ:
- Кампания-1:
- Этап-1: Ho so.rar
- Кампания: 2
- Этап 1: download.zip
- Этап 2: Файл LNK и пакетный файл (общие для этапов 1 и 2)
- Этап 3: Анализ файлов sfvc.exe и 360.dll
- Анализ 2nd
- Кампания-1:
- Инфраструктурные артефакты и атрибуция субъектов угроз.
- Заключение: Почему именно операция «Приманка для горя»?
- Seqrite Покрытие:
- МНК:
- MITRE ATT&CK:
Введение:
Seqrite В ходе лабораторных исследований была обнаружена целенаправленная фишинговая кампания, получившая название... Операция «Приманка скорби», целью которого было обращение к топ-менеджерам Viettel Group — крупнейшей телекоммуникационной компании Вьетнама, работающей под эгидой... Министерство национальной обороны & Медицинский центр Святого Луки, Кесон (Филиппины) — совместно с действующими следователями из отдела по борьбе с киберпреступностью провинции Тханьхоа. В рамках этой кампании распространяется вредоносный файл Windows LNK внутри вложенного архива RAR с двойным сжатием, при этом используется встроенный исполняемый файл ftp.exe в качестве загрузчика (LotL) для обхода обнаружения на конечных устройствах. Особенность этой кампании заключается в построении приманки — вместо создания документов злоумышленник получил доступ к 8 подлинным, юридически важным документам.
В основе кампании лежит следующее: Дроппер на основе Windows LNK Злоупотребление встроенным исполняемым файлом ftp.exe — метод, позволяющий минимизировать следы в криминалистике и обойти большинство традиционных методов обнаружения угроз на конечных устройствах. При выполнении происходит следующее: механизм сборки полиморфной полезной нагрузки, основанный на времени Создает полноценный вредоносный имплант — sfsvc.exe — непосредственно на диске из фрагментов файлов .doc, после чего незаметно запускается, пока жертва читает подлинный поддельный PDF-файл. Весь процесс компрометации завершается менее чем за 10 секунд, не оставляя жертве никаких видимых следов.
«Самая опасная приманка — это не та, которая обманом заставляет жертву поверить во что-то ложное, а та, которая показывает ей нечто совершенно истинное». - Seqrite Группа по исследованию угроз в лабораториях.
В этом отчете Seqrite В Labs представлен всесторонний технический анализ операции GriefLure, охватывающий всю цепочку заражения, механизм сборки полезной нагрузки, анализ документов-приманок, профилирование цели и индикаторы атрибуции.
Ключевые цели:
Кампания-1:
- Целевая страна: Вьетнам
- Целевой сектор: Сети и телекоммуникации
Кампания-2:
- Целевая страна: Филиппины
- Целевой сектор: Здравоохранение и медицина
Инфекционная цепь:
Первые результаты кампании:
Обе кампании используют весьма убедительные поддельные документы, созданные для того, чтобы использовать реальные профессиональные обязанности и спровоцировать немедленные действия со стороны целевых лиц. В первом случае злоумышленники использовали подлинные юридические и следственные материалы из реального спора между компанией Viettel и вьетнамскими властями, что обеспечило высокую значимость для вовлеченных руководителей и следователей по киберпреступлениям. Во втором случае была сфабрикована, но убедительная жалоба осведомителя, призванная оказать давление на высшее руководство медицинского центра Святого Луки путем ссылки на серьезные нарушения нормативных требований и финансовые махинации.
Анализ приманок:
Кампания 1: Военные телекоммуникации и правоохранительная деятельность (группа компаний Viettel (штаб-квартира)))
В ходе первоначальной проверки вредоносного архива мы выявили 8 поддельных документов, полностью созданных на основе подлинных юридических документов, полученных в результате реальной утечки данных между гражданином Вьетнама и компанией Viettel — вьетнамской компанией, защищающей телекоммуникационные сети. Эти документы включают официальные отчеты полиции о расследовании, подписанные корпоративные письма о признании вины, внутренние переписки сотрудников по электронной почте и личные медицинские записи — каждый из них был выбран для использования профессиональных обязанностей указанных руководителей Viettel и одного из следователей отдела по борьбе с киберпреступностью, что делает обнаружение на основе интуиции практически невозможным для любого получателя, непосредственно участвующего в деле.
Это основной документ-приманка — официальное электронное письмо с требованием юридического решения, адресованное непосредственно генеральному директору Viettel, в котором излагается суть спора о утечке данных, длившегося 4 месяца, и содержится угроза судебного иска против корпорации. Оно автоматически открывается при запуске LNK, удерживая внимание жертвы, пока вредоносное ПО работает в фоновом режиме и незаметно продолжает свою деятельность.
Рукописное подписанное заявление в защиту обвиняемого сотрудника компании Viettel Ле Ван Чиена, представленное руководству филиала, в котором подробно изложена его версия инцидента с утечкой персональных данных.
Рукописный стиль в сочетании с официальным форматированием создает впечатление, что это крайне конфиденциальная внутренняя кадровая документация, что значительно повышает воспринимаемую подлинность всего комплекта приманки.
Переписка по электронной почте между клиенткой Ле Тхи Дунг и службой поддержки клиентов Viettel, официально документирующая ее первоначальную жалобу на утечку персональных данных, содержит реальные личные данные, включая национальный идентификационный номер ****269 и номер телефона *******2308.
Официальное письменное признание компанией Viettel факта утечки данных, подписанное заместителем директора Хоанг Тхи Тует Май, — наиболее юридически значимый документ в пакете, прямо подтверждающий неправомерные действия сотрудника и принятые дисциплинарные меры.
Кампания 2: Медицинский центр Святого Луки (SLMC), Филиппины
В ходе первоначальной оценки пакета вредоносных документов, выявленного в рамках второй кампании, мы обнаружили один основной документ-подделку, созданный для имитации официальной жалобы осведомителя, поданной в Медицинский центр Святого Луки (SLMC) — одну из самых престижных частных больничных групп Филиппин, имеющую международную аккредитацию JCI.
По всей видимости, этот поддельный документ был специально сфабрикован и предназначен для сотрудников отделов управления здравоохранением, внутреннего аудита и соблюдения нормативных требований в больницах филиалов SLMC в Глобал-Сити и Кесон-Сити.
Вторая кампания использует принципиально иной подход по сравнению с первой — вместо сбора подлинных документов злоумышленник создал крайне убедительную жалобу осведомителя, направленную против внутренней инфраструктуры соответствия и аудита медицинского центра Святого Луки. Документ тщательно разработан, чтобы спровоцировать немедленные действия со стороны администрации больницы, ссылаясь на предполагаемое мошенничество на сумму 1 2 1,500,000 филиппинских песо, угрозы аккредитации JCI, нарушения правил PhilHealth и т.д. data privacy нарушения.
Технический анализ:
После загрузки RAR-архивов из обеих кампаний мы обнаружили, что каждый из них содержал комбинацию PDF-файлов-приманок и LNK-файлов, которые были подвергнуты дальнейшему детальному анализу. Для наглядного представления результатов мы структурировали анализ, разделив обе кампании на несколько этапов. Примечательно, что этап 3 является общим для обеих кампаний и посвящен углубленному анализу используемой техники загрузки DLL-файлов.
Кампания: 1
Этап 1: (Ho so.rar)
На первом этапе мы получили RAR-архив, доставленный через фишинговое электронное письмо. Файл с именем «Ho so.rar» содержит следующие элементы внутри архива.
На первом этапе, при анализе основного архивного файла «Ho so.rar», мы обнаружили вторичный RAR-архив, выделенный на приведенном выше снимке, с именем «PL8_Ho so Bang Chung KH Dung thu thap.rar.«Помимо этого вложенного архива, пакет также содержит семь PDF-файлов-приманок, которые подробно описаны в разделах выше».
Кроме того, мы проверили второй RAR-архив, который используется в качестве вложенного, и он содержит следующие файлы и папки.
В архиве содержится один файл LNK с именем «HỒ SƠ BẰNG CHỨNG GHI NHẬN CHUỖI HÀNH VI VI PHẠM PHÁP LUẬT CÓ HỆ THỐNG VÀ LEO THANG CỦA TẬP ĐOÀN VIETTEL.lnk». Он также включает три файла изображений, которые, вероятно, использовались в качестве подтверждающих доказательств при создании ложных документов.
В этом архиве есть одна папка, обозначенная выше символом «_», внутри которой находятся следующие папки..
После детальной проверки каждого из них, содержащей отдельные сведения и файлы,
_rels:
Док:
Кроме того, архив содержит пакетный файл, который злоумышленник использует на последующих этапах эксплуатации.
Кампания: 2
Как отмечалось ранее, вторая кампания нацелена на медицинский центр Святого Луки (SLMC) на Филиппинах. В этом случае фишинговое письмо содержит ZIP-архив под названием «download.zip».
Этап 1: download.zip
_rels:
Док:
Первый этап начинается с анализа архива download.zip, доставленного по целевому фишинговому письму. После распаковки архив обнаруживает структурированную папку с названием Whistleblowing_Report_SLMC_Fraud_and_Misconduct_2026, которая выглядит легитимной и ориентирована на расследование. Внутри мы видим множество компонентов, включая поддельный документ, вспомогательные каталоги (doc и _rels) и подозрительный пакетный файл. Наличие этих элементов указывает на поэтапный процесс выполнения, где поддельный PDF-файл используется в качестве приманки, а скрытые скрипты обеспечивают вредоносную активность в фоновом режиме. Такая структура убедительно свидетельствует о преднамеренной подготовке к социальной инженерии в сочетании с техническими методами.
Этап 2: Файл LNK и пакетный файл (общие для этапов 1 и 2)
Мы обнаружили два файла LNK, содержащие одинаковое содержимое, но отличающиеся только именами: «HỒ SƠ BẰNG CHỨNG GHI NHẬN CHUỖI HÀNH VI VI PHẠM PHÁP LUẬT CÓ HỆ THỐNG VÀ LEO THANG CỦA TẬP ĐOÀN VIETTEL.lnk» и «Whistleblowing_Report_SLMC_Fraud_and_Misconduct_2026/Whistleblowing_Report_SLMC_Fraud_and_Misconduct_2026.pdf.lnk».
Обе кампании используют идентичную логику выполнения LNK-файла. LNK-файл использует встроенный в Windows исполняемый файл ftp.exe в качестве загрузчика, незаметно выполняя скрытый скрипт с помощью флага -s, который собирает и запускает вредоносную программу из фрагментов файлов, помещенных в C:\Users\Public, одновременно открывая файл 1.pdf в качестве приманки, чтобы жертва ничего не знала — вся компрометация завершается незаметно менее чем за 10 секунд без каких-либо видимых индикаторов на экране.
Кампания: 1
Кампания:2
Обе кампании используют общую структуру пакетной сборки полезной нагрузки, что подтверждает наличие единого субъекта угроз, одновременно использующего модульную инфраструктуру атак во Вьетнаме и на Филиппинах.
Основной механизм в обоих случаях идентичен: извлекаются бинарные фрагменты, замаскированные под файлы .doc, полиморфный отбор по времени рандомизирует хеш полезной нагрузки, и sfsvc.exe Программа незаметно собирается и выполняется, в то время как целевой PDF-файл-приманка отвлекает жертву.
Единственное существенное различие между кампаниями заключается в названии документа-приманки — generic 1.pdf в Кампании 1 против документа с точно указанным названием Whistleblowing_Report_SLMC_Fraud_and_Misconduct_2026.pdf в Кампании 2 — что указывает на более развитого и изощренного злоумышленника, который адаптирует представление приманки для каждой цели.
Пакетный скрипт использует метод конкатенации бинарных файлов для восстановления полностью функционального исполняемого файла PE во время выполнения — объединяя файл header.doc (содержащий заголовок MZ/PE) с WindowsSecurity.doc (Основной код) использует встроенную команду Windows copy /b для создания файла sfsvc.exe (162 КБ), а также отдельно объединяет тот же заголовок PE с полиморфным фрагментом, выбранным по времени (%TIME:~4,1%.doc), плюс добавленное значение %RANDOM% для генерации уникально хешированного загрузчика 360.dll при каждом запуске.
Такой подход, основанный на сборке во время выполнения, означает, что ни исполняемый файл (EXE), ни DLL-файл не находятся внутри RAR-архива — хранятся только безобидные на вид фрагменты .doc, полностью скрытые. обход статического сканирования архивов и обнаружения на основе сигнатурЗатем окончательный файл sfsvc.exe запускается в свернутом виде посредством вызова точки входа DllRegisterServer. 360.dllактивируя имплантат, пока собранные файлы полезной нагрузки находятся в C:\Users\Public\Update\ При беглом анализе с помощью криминалистических методов они выглядят не более чем легитимными компонентами служб Windows.
Этап 3: Анализ файлов sfsvc.exe и 360.dll
sfsvc.exe оказывается специально разработанная платформа выполнения предназначен для скрытой и гибкой загрузки и запуска вредоносных DLL-библиотек.
Мы обнаружили, что он использует команду для выполнения вредоносного файла 360.dll.
cmd.exe /C start /min C:\Users\Public\Update\sfsvc.exe /calldll 360.%TIME:~4,1%.dll DllRegisterServer >nul
Изучив код, мы обнаружили, что sfsvc.exe — это пользовательская переработка regsvr32.exe, расширенный дополнительными возможностями.
sfsvc.exe является модульной и поддерживает множество операций:
| Command | Цель |
| /calldll | Выполнить экспорт DLL |
| /u | Отменить регистрацию DLL |
| /s | Бесшумный режим |
| /restartexplorer | Перезапуск Проводник |
| /runnonelevated | Отменить привилегии |
| /addpath | Сохранение данных через PATH |
| /removepath | Удалить сохранение состояния |
| /regieemulation | Настройки реестра/браузера |
| /checkwin10 | Обнаружение ОС |
Внутри программы доступны многочисленные параметры командной строки, позволяющие выполнять экспорт DLL-файлов, регистрировать или отменять регистрацию компонентов, манипулировать системными путями для обеспечения постоянного присутствия в системе, перезапускать оболочку Windows и даже изменять права доступа к выполнению. Такая модульная конструкция убедительно свидетельствует о том, что данный бинарный файл предназначен для использования в качестве многоразового инструментария в рамках более широкой экосистемы вредоносных программ, а не в качестве одноразовой полезной нагрузки.
Процедура перезагрузки проводника/ Перехват процесса Explorer (перезапустить проводник команда)
Вредоносная программа сначала дестабилизирует пользовательский интерфейс, отправляя сообщения о завершении работы и закрытии основным компонентам рабочего стола, таким как Progman, Shell_TrayWnd, CabinetWClass и WorkerW (мягкое завершение), а затем принудительно перечисляет процессы для обнаружения и завершения. explorer.exe Использование полных прав доступа через OpenProcess и TerminateProcess (жесткое завершение процесса), гарантирующее полное удаление оболочки, после чего функция-оркестратор вводит временные задержки и решает, как восстановить или заменить оболочку — либо путем перезапуска. explorer.exe с помощью пользовательских параметров через ShellExecuteW или путем вызова более сложной процедуры, которая дублирует текущий токен процесса, понижает его уровень целостности до низкий (S-1-16-4096)и воссоздает Проводник с помощью CreateProcessAsUserW; это приводит к перестройке рабочего стола в ограниченном, контролируемом контексте безопасности, что фактически позволяет вредоносной программе удалить видимый пользовательский интерфейс, предотвратить нормальное восстановление и повторно ввести модифицированную среду оболочки, которую можно использовать для скрытности, ограничения доступа пользователей, настройки постоянного присутствия или дальнейшего выполнения полезной нагрузки.
Выполнение DLL (команда callll)
В основе этой структуры лежит механизм выполнения DLL-библиотек, реализованный в функции.
Эта процедура выполняет простую, но эффективную последовательность действий: она загружает DLL-библиотеку в память с помощью LoadLibraryW, определяет адрес функции с помощью GetProcAddress и выполняет эту функцию напрямую. На практике это означает, что злоумышленник может предоставить любую DLL-библиотеку и любую экспортированную функцию — чаще всего DllRegisterServer — и добиться её выполнения без использования стандартных системных инструментов. Такой подход фактически заменяет необходимость в regsvr32.exe, позволяя вредоносному ПО обходить механизмы обнаружения, специально отслеживающие эту утилиту.
Процедура регистрации в стиле COM
В дополнение к произвольному выполнению DLL-файлов, sfsvc.exe также реализует процедуру регистрации в стиле COM (sub_402BC1), которая очень точно имитирует легитимные процессы регистрации DLL-файлов. Эта функция загружает указанный DLL-файл и пытается вызвать либо DllRegisterServer, либо DllUnregisterServer в зависимости от предоставленных аргументов. Хотя это может показаться безобидным, в контексте вредоносной деятельности это позволяет злоумышленникам смешивать свою активность с ожидаемым поведением системы, что затрудняет для средств безопасности различение легитимных и вредоносных операций с DLL-файлами.
Анализ файла 360.dll. DllRegisterServer (Многоступенчатый загрузчик и инжектор шеллкода
360.dll, запускаемый через sfsvc.exe /calldll … DllRegisterServer, не является обычной COM DLL, а представляет собой многоступенчатый загрузчик шеллкодаВнутри DllRegisterServer код сначала использует приемы защиты от анализа (мусорные инструкции, проверки на основе исключений), а затем извлекает собственный путь, вероятно, для обнаружения или получения вторичной полезной нагрузки. Он обрабатывает и декодирует скрытые данные, выделяет исполняемую память с помощью VirtualAlloc, копирует декодированную полезную нагрузку в нее и немедленно выполняет ее в памяти. Это представляет собой классический пример метод выполнения без файлов, при котором вредоносный код выполняется без сохранения видимого исполняемого файла на диск, что затрудняет обнаружение.
После первоначального выполнения DLL-библиотека переходит ко второму этапу: процесс инъекцииОн создает новый экземпляр explorer.exe, открывает его с полным доступом, выделяет в нем память с помощью VirtualAllocEx и записывает полезную нагрузку с помощью WriteProcessMemory. Затем он удаленно выполняет полезную нагрузку с помощью CreateRemoteThread, фактически перенося вредоносное выполнение в доверенный системный процесс. Такой многоуровневый подход — сочетание выполнения в памяти с внедрением — позволяет вредоносному ПО оставаться скрытным, устойчивым и труднообнаружимым, особенно в сочетании с гибкими возможностями загрузчика sfsvc.exe.
2nd Грузоподъемность:
Проанализировав файлы sfsvc.exe и 360.dll, мы обнаружили, что в модуле DllRegisterServer расшифрован шеллкод.
Таким образом, установив точки останова на LoadLibraryW и GetProcAddress, мы сможем расшифровать 2nd Полезный груз, которым является крыса.
Проведя анализ выгруженного содержимого, мы обнаружили, что анализируемая программа представляет собой модульный загрузчик вредоносных программ Этот вредоносный код использует различные методы атаки в зависимости от аргументов командной строки, выступая в качестве многоцелевого имплантата, способного к выполнению без файлов, внедрению в процессы, обеспечению постоянного присутствия и повышению привилегий. Он извлекает или расшифровывает полезные нагрузки с помощью центральной подпрограммы (sub_402E00) и выполняет их несколькими способами: прямое выполнение в памяти с помощью VirtualAlloc (шеллкод без файлов), внедрение APC с помощью QueueUserAPC в приостановленные процессы и классическое внедрение удаленных потоков через CreateRemoteThread. Он также включает в себя подпрограмму-загрузчик, которая расшифровывает полезные нагрузки с помощью операции XOR (^ 0x88) и записывает их в путь альтернативного потока данных NTFS, например, C:\Users\Public\Update:2.dll, который затем выполняется с помощью DllRegisterServer.
Ещё более показательно то, как эта логика декодирования связана с уровнем сетевой связи вредоносной программы. Сетевой обработчик (sub_418030) постоянно получает данные с удалённого сервера, применяет простое XOR-дешифрование (^ 0xBB) и динамически обрабатывает команды или полезные нагрузки. Это предполагает полноценный рабочий процесс управления и контроля (C2): данные принимаются от злоумышленника, слегка обфусцируются, декодируются (возможно, с помощью таких процедур, как sub_402E00), а затем выполняются в памяти. Такая конструкция позволяет вредоносной программе оставаться гибкой и обновлять своё поведение без сохранения новых файлов на диск.
C2-связь с обфускацией и резервным HTTP-соединением
Вредоносная программа использует командно-контрольный (C2) механизм связи с помощью API Windows WinHTTP, инициализируя сетевую сессию, подключаясь к жестко закодированному удаленному серверу (маскирующемуся под легитимный домен, например, www.whatsappcenter.com) и формируя HTTP-запрос — скорее всего, POST — по протоколу HTTPS для передачи обфусцированной полезной нагрузки. Сама полезная нагрузка генерируется с помощью внутренней процедуры, а затем шифруется XOR с использованием статического ключа (0xBB) — легковесного метода, обычно используемого вредоносными программами для обхода простого обнаружения на основе сигнатур. После упаковки данных в структурированное тело запроса функция пытается отправить его на сервер и ожидает ответа, который считывается в буфер и, вероятно, используется для дальнейшего выполнения команд в других частях вредоносной программы.
Перечисление процессов и профилирование системы с учетом утечки информации.
Вредоносная программа работает как система разведки и утечки данных, предназначенная для перечисления всех запущенных процессов на зараженной машине и передачи подробной информации о профилировании на удаленную конечную точку. Она начинает с создания снимка всех активных процессов с помощью API Toolhelp (CreateToolhelp32Snapshot, Process32First, Process32Next) и перебирает каждую запись, вызывая ранее проанализированную функцию sub_405790 для извлечения обогащенных метаданных, таких как владелец процесса (domain\username), полный путь к исполняемому файлу и архитектура (32-битная или 64-битная). Для каждого процесса она формирует отформатированную строку, содержащую имя исполняемого файла, идентификатор процесса и собранные данные об идентификации, добавляя каждую запись в большой буфер агрегации, разделенный разделителями.
chrome.exe,Reserve,2300,DESKTOP\User,C:\Program Files\Chrome\chrome.exe,64?
svchost.exe,Reserve,888,NT AUTHORITY\SYSTEM,C:\Windows\System32\svchost.exe,64?
Процедура захвата и извлечения скриншотов
Вредоносная программа реализует полноценный механизм захвата и извлечения данных с рабочего стола, позволяя ей делать снимки экрана жертвы и передавать их на свой командно-контрольный (C2) сервер. Сначала она получает размеры экрана с помощью GetSystemMetrics, учитывая многомониторные конфигурации путем вычисления виртуальных границ экрана. В зависимости от того, активно ли сокетное соединение, она динамически регулирует разрешение захвата — либо полный размер, либо уменьшенное (разделенное на 3) — вероятно, для баланса качества изображения и пропускной способности сети. Затем функция захватывает экран, создавая совместимые контексты устройств (CreateCompatibleDC), копируя содержимое дисплея с помощью BitBlt и, при необходимости, масштабируя его с помощью StretchBlt. Исходные пиксельные данные извлекаются с помощью GetDIBits в буфер, а допустимое изображение BMP создается вручную путем сборки заголовков растрового изображения и пиксельных данных в памяти.
Процедура составления списка каталогов и извлечения метаданных файлов
Вредоносная программа реализует функцию разведки каталогов и извлечения метаданных файлов, позволяя ей проверять указанный путь и сообщать о его содержимом на сервер управления и контроля (C2). Сначала она проверяет, является ли предоставленный путь каталогом, а затем перечисляет его содержимое с помощью функций FindFirstFileA / FindNextFileA. Процедура работает в два этапа: сначала она идентифицирует все подкаталоги (за исключением "." и "..") и формирует конкатенированный список имен папок; затем она снова повторяет процесс для сбора подробной информации о файлах в каталоге. Для каждого файла она извлекает такие атрибуты, как имя файла, метка времени последнего изменения (преобразованная с помощью FileTimeToSystemTime в читаемый формат) и размер файла (нормализованный в килобайты), собирая записи в структурированном формате, например, имя файла|метка времени|размер в КБ.
Ex: document.txt|2026-05-04 10:22:31|12.45 KB
Загрузка файлов по частям и процедура удаленного выполнения
Вредоносная программа реализует обработчик загрузки файлов в сочетании с логикой условного выполнения, позволяя ей получать фрагменты файлов с удаленного сервера, восстанавливать их локально и, при необходимости, выполнять окончательную полезную нагрузку. Она анализирует множество параметров из входной структуры, включая путь к целевому файлу, размер фрагмента, общий размер и текущий индекс фрагмента, и вычисляет ход загрузки для составления отчета. Входящие данные декодируются с помощью внутренней процедуры (sub_402E00), после чего функция открывает или создает целевой файл и записывает фрагмент с правильным смещением с помощью SetFilePointerEx, что позволяет надежно восстанавливать большие файлы по частям. В случае успешной записи она отправляет структурированное сообщение о состоянии (например, $FileUpload||…||success||…||IsEnd) обратно на сервер управления и контроля (C2); в противном случае она сообщает о сбое.
Особенно примечательное поведение наблюдается, когда загруженный файл соответствует определенному пути (например, C:\Users\Public\tvnserver.exe) и последний фрагмент уже записан: функция немедленно выполняет файл с помощью CreateProcessA, а затем запускает его снова с аргументами командной строки (-controlapp -connect). ), что указывает на развертывание дополнительной полезной нагрузки — вероятно, удаленного рабочего стола или инструмента управления, такого как TightVNC. Это подтверждает, что процедура предназначена не только для передачи данных, но и для доставка и выполнение полезной нагрузки, характерный признак поэтапного заражения вредоносным ПО.
Обнаружение программного обеспечения безопасности
Функция вредоносного ПО представляет собой защитную процедуру обхода защиты и анализа окружающей среды, которая перечисляет все запущенные процессы в системе для идентификации установленных средств безопасности, таких как антивирус (AV). endpoint detection and response (EDR) и агенты безопасности. Он создает снимок активных процессов с помощью CreateToolhelp32Snapshot и перебирает каждую запись, сравнивая имена процессов с большим жестко закодированным списком известных исполняемых файлов, связанных с безопасностью, включая продукты от таких поставщиков, как Kaspersky, Windows Defender, ESET, Bitdefender, Avast, Avira, Sophos, McAfee, SentinelOne, CrowdStrike, а также несколько китайских решений в области безопасности (например, 360Safe, Qianxin, Sangfor). При обнаружении совпадения он сопоставляет процесс с читаемым именем поставщика (например, «Kaspersky», «Windows Defender») и сохраняет его в буфере, а также устанавливает внутренние флаги для определенных обнаружений (вероятно, влияющие на последующее поведение, такое как отключение функций или изменение тактики).
После завершения перечисления функция объединяет все идентифицированные продукты безопасности в строку без дубликатов, гарантируя, что повторяющиеся обнаружения не будут дублироваться в конечном результате.
Модуль для сбора учетных данных и целенаправленной кражи данных
Вредоносная программа использует высокоэффективную процедуру сбора учетных данных, предназначенную для извлечения конфиденциальной информации из конкретных приложений, браузеров и инструментов удаленного доступа. Функция систематически сканирует широкий спектр жестко закодированных путей к файлам в пользовательских каталогах и системных расположениях, фокусируясь на важных целях, таких как хранилища учетных данных браузера (например, данные входа в Chrome, файлы cookie, история и локальное состояние), конфигурации FTP-клиентов (например, FileZilla), инструменты баз данных (настройки PL/SQL Developer) и программное обеспечение удаленного доступа, такое как Sunlogin и ToDesk (config.ini). Она также целенаправленно атакует файлы сессий Xshell (*.xsh) из каталогов NetSarang, которые часто содержат сохраненные данные для подключения SSH.
Кроме того, вредоносная программа пытается получить доступ к данным приложений для обмена сообщениями, таким как файлы WeChat, расположенные в каталогах пользовательских документов, что указывает на интерес к журналам переписки и, возможно, кэшированным учетным данным.
Инфраструктурные артефакты и атрибуция субъектов угроз.
В ходе детального анализа этой операции, которую мы назвали операцией griefLure, мы выявили домен управления и контроля (C2) под названием whatsappcenter[.]com. Дальнейшее изучение этого домена позволило получить следующие сведения о нем.
На этом домене размещено более 38 54 122 188 серверов, несущих три безошибочных тега из источников пассивной разведки: BULLETPROOF, DEFAULT_LANDING_PAGE и REMOTE_ACCESS. Хост находится в пределах КАОПУ-HK Kaopu Cloud HK Limited (AS138915), автономная система из Гонконга с хорошо задокументированной историей предоставления защищенного от злоупотреблений хостинга для субъектов угроз, действующих в Азиатско-Тихоокеанском регионе.
Технические индикаторы на протяжении всей кампании рисуют последовательную и целостную картину. Целенаправленный выбор Пуленепробиваемый KAOPU-HK инфраструктура, регистрация вариантов домена .com C2, Перечисление беспилотных автомобилей, специфичное для Китая список, встроенный в полезную нагрузку, — включает в себя поставщиков, в том числе 360Safe, Qianxin и Sangfor — целенаправленное использование данных WeChat в модуле сбора учетных данных, а также более широкая зона таргетинга в Юго-Восточной Азии, охватывающая военный телекоммуникационный сектор Вьетнама и инфраструктуру здравоохранения Филиппин, в совокупности формируют профиль атрибуции, который Seqrite Лаборатории проводят оценку с помощью от умеренного до высокого уверенность как кластер угроз, связанных с Китаем.
Заключение: Почему именно операция «Приманка для горя»?
Операция «GriefLure» получила свое название от самой характерной и тревожной особенности этой кампании — злоумышленник не изобрел приманку; он украл ее у скорбящей жертвы. Ле Тхи Дунг более четырех месяцев вела настоящую юридическую борьбу против одной из самых могущественных военных корпораций Вьетнама — подавала заявления в полицию, предоставляла официальные досье с доказательствами, добиваясь справедливости в связи с реальной утечкой персональных данных, которая, по ее словам, причинила ей задокументированную психологическую травму, включая посттравматическое стрессовое расстройство и депрессию.
Злоумышленница публично наблюдала за этой борьбой в социальных сетях, систематически собирала все подлинные документы, которые она предоставляла, и с хирургической точностью использовала её горе против тех самых институтов, с которыми она боролась, превращая её боль в идеальную фишинговую приманку, которую никакая подготовка по безопасности не могла надёжно нейтрализовать, потому что каждый документ был подлинным, каждое имя соответствовало действительности, и у каждого получателя была веская причина открыть его без колебаний. Именно эта преднамеренная эксплуатация страданий реальной жертвы в качестве механизма атаки определяет эту кампанию, делает её уникально опасной среди операций по киберпреступности в Юго-Восточной Азии и именно так. Почему это называется Operation GriefLure?.
Seqrite Покрытие:
- Lnk.Trojan.50682.GC
- Script.Trojan.50683.GC
- Trojan.Win32CiR
МНК:
| Название файла | SHA256 |
| HỒ SƠ BẰNG CHỨGHI NHẬN CHUỖI HÀNH VI VI PHẠM PHÁP LUẬT CÓ HỆ THỐNG VÀ LEO THANG CỦA TẬP ĐOÀN VIETTEL.lnk | 35af2cf5494181920b8624c7b719d39590e2a5ff5eaa1a2fa1ba86b2b5aa9b43 |
| Whistleblowing_Report_SLMC_Fraud_and_Misconduct_2026.pdf.lnk | bc090d75f51c293d916c40d4b21094faaec191a42d97448c92d264875bf1f17b |
| Valid_Government_Identification_Card_of_Dela_Cruz_Juan_-_Philippine_National_ID_Front_Side.png.lnk | 197f11a7b0003aa7da58a3302cfa2a96a670de91d39ddebc7a51ac1d9404a7e6 |
| iPad_Pro_Display_Spec_Final_CONFIDENTIAL.docx.lnk | f34f550147c2792c1ff2a003d15be89e5573f0896c5aa6126068baa4621ef416 |
| 360.8.dll | bc83817c6d2bf8df1d58eac946a12b5e2566b2ffe15cf96f37c711c4b755512b |
| th5znehec.exe | 61e9d76f07334843df561fe4bac449fb6fdaed5e5eb91480bded225f3d265c5f |
| a.dll | ee6330870087f66a237a7f7c115b65beb042299f12eae1e9004e016686d0c387 |
| SlULIRDJOiq | 91a15554ec9e49c00c5ca301f276bd79d346968651d54204743a08a3ca8a5067 |
| Партия | a49155df50963d2412534090bbd967749268bd013881ddb81d78b87f91cdc15b |
| Партия | 7f80add94ee8107a79c87a9b4ccbd33e39eccd1596748a5b88629dd6ac11b86d |
C2:
www[.]whatsappcenter[.]com
MITRE ATT&CK:
| тактика | Название техники | Идентификатор техники |
| Первоначальный доступ | Вложение для целевого фишинга | T1566.001 |
| Типы | Выполнение пользователем вредоносного кода (вредоносная LNK-функция) | T1204.002 |
| Интерпретатор команд и сценариев (cmd/batch) | T1059.003 | |
| Выполнение системного двоичного прокси (злоупотребление ftp.exe) | T1218 | |
| Настойчивость | Изменение переменных среды (PATH) | T1574.007 |
| Выполнение автозапуска при загрузке или входе в систему (манипулирование проводником) | T1547 | |
| Повышение привилегий | Создание процесса с использованием токена (CreateProcessAsUser) | T1134.002 |
| Уклонение от защиты | Зашифрованные/сжатые файлы (RAR/ZIP, вложенные архивы) | T1027 |
| Бинарные оппозиции: жизнь за счет даров природы | T1218 | |
| Полиморфный код / Обфускация полезной нагрузки | T1027.014 | |
| Маскировка (фрагменты .doc в качестве полезной нагрузки) | T1036 | |
| Внедрение процесса (CreateRemoteThread) | T1055.001 | |
| Загрузка/выполнение DLL-библиотек | T1574.002 | |
| Удаление индикаторов / Скрытое исполнение (ADS) | T1564.004 | |
| Доступ к учетным данным | Учетные данные из веб-браузеров | T1555.003 |
| Учетные данные из файлов | T1552.001 | |
| Дискавери | Обнаружение процесса | T1057 |
| Обнаружение системной информации | T1082 | |
| Обнаружение файлов и каталогов | T1083 | |
| Обнаружение программного обеспечения безопасности | T1518.001 | |
| | Захват экрана | T1113 |
| Данные из локальной системы | T1005 | |
| Управление и контроль | Протокол прикладного уровня (HTTPS) | T1071.001 |
| Зашифрованный/обфусцированный канал (XOR-кодирование) | T1573 | |
| эксфильтрации | Эксфильтрация через канал C2 | T1041 |
| Автоматическая эксфильтрация | T1020 |
Авторы :
- Диксит Панчал
- Картик Дживани
- Соумен Бирма
