Связаться с отделом продаж
Главная  /  Malware  Операция «Тихий ротор»: целенаправленная кампания ставит под угрозу сектор беспилотной авиации в преддверии саммита в Москве.
Операция «Тихий ротор»: целенаправленная кампания подрывает сектор беспилотной авиации в преддверии саммита в Москве.

Операция «Тихий ротор»: целенаправленная кампания подрывает сектор беспилотной авиации в преддверии саммита в Москве.

Написано Прия Патель
Прия Патель
Malware

Содержание

  • Введение
  • Ключевые цели
    • Затронутые отрасли
    • Географический фокус
  • Цепочка заражения
  • Первоначальные результаты
    • Изучение документов-приманок
  • Технический анализ
    • Этап 1 – Анализ вредоносного исполняемого файла
    • Этап 2 – Вторая ступень сброса полезной нагрузки
  • Инфраструктура и атрибуция
  • Заключение
  • Seqrite Protection
  • Индикаторы компрометации (IOC)
  • MITRE ATT&CK Mappinga
  • Авторы

Введение

SEQRITE Лаборатория активно отслеживает возникающие угрозы и недавно выявила кампанию, направленную против специалистов и организаций в евразийском секторе беспилотной авиации. По всей видимости, эта кампания стратегически приурочена к XIII Евразийскому международному форуму «Беспилотная авиация 2026», запланированному на 23 апреля 2026 года в Москве, — крупному международному мероприятию, посвященному беспилотным летательным аппаратам (БПЛА).

В рамках этой кампании распространяются вредоносные, предположительно содержащиеся вложенные файлы электронных писем посредством целевого фишинга, в результате чего доставляется архив под названием cai partner.zip. Архив содержит исполняемый файл на основе Rust, замаскированный под легитимный документ подтверждения заказа от Российского авиационного информационного центра (ЦАИ/ЦАИ).

В следующих разделах мы проанализируем фишинговые приманки, использованные в этой кампании, а затем проведем технический анализ вредоносного исполняемого файла. Мы также рассмотрим, как файл загружает и запускает полезную нагрузку второго этапа. Кроме того, мы рассмотрим используемую инфраструктуру и связь с C2-сервером, и, наконец, сопоставим наблюдаемое поведение с тактикой и методами MITRE ATT&CK.

Ключевые цели

Затронутые отрасли

  • сектор беспилотных авиационных систем (БПЛА/БПЛА)
  • Аэронавигационные информационные службы

Географический фокус

  • Россия
  • Таджикистан
  • Центральная Азия
  • Ближний Восток и Европа

Цепочка заражения

Первоначальные результаты

В ходе расследования недавних текущих кампаний мы обнаружили подозрительный ZIP-файл под названием cai partner (1).zip в общедоступной песочнице VirusTotal. При первоначальном наблюдении мы увидели, что файл был отправлен из России и не был обнаружен ни разу при первом появлении в соответствии с нашими правилами поиска. Однако имя файла и его содержимое показались подозрительными, что привлекло наше внимание.

Дальнейшее расследование привело нас к еще одному архиву под названием cai partner.zip, который служит основным носителем как документов-приманок, так и вредоносного исполняемого файла. После извлечения содержимого этого архива мы обнаружили, что он содержит четыре файла. Один из них — исполняемый файл с именем Подтверждение заказа продукции ЦАИ.exe , что переводится как Подтверждение заказа продукции CAI.exe”.

Помимо исполняемого файла, архив содержит множество поддельных документов, таких как файлы PDF, DOCX и XLSX, которые созданы для того, чтобы выглядеть как легитимные документы, связанные с бизнесом.

Изучение документов-приманок

PDF-документ «Приманка»

Первым документом, привлекшим наше внимание, стал PDF-файл, извлеченный из архива. Файл называется Certificate of translation.PDF и предназначен для того, чтобы выглядеть как подлинный документ, подтверждающий перевод.

При внимательном изучении документа выясняется, что это официальный сертификат перевода. Он содержит такие данные, как номер документа, дата, имя переводчика, подпись и информацию о компании (SOMON TRANSLATIONS, Душанбе, Таджикистан), а также печати и штампы, подтверждающие его подлинность.

Таким образом, анализ деталей документа, включая использование нескольких языков, формальную структуру, а также официальные на вид печати и подписи, позволяет предположить, что эта уловка нацелена на специалистов, занимающихся международным бизнесом или переводческой деятельностью.

Документ DOCX с приманкой

После анализа документа мы обнаружили, что этот файл, озаглавленный «Подтверждение заказа продукции CAICA и организация встречи на форуме «Беспилотная авиация – 2026» для обсуждения деталей оплаты и подписания долгосрочного контракта.docx», аналогичен документу, который был показан жертве сразу после запуска вредоносного исполняемого файла.

В следующем разделе мы подробно проанализируем этот документ, где продемонстрируем, как он создается исполняемым файлом во время выполнения.

Документ XLSX с приманкой

Третий найденный в архиве документ — это файл Excel под названием summary_order_cai_final.xlsx.

Проанализировав файл, мы обнаружили, что он содержит подробный список продукции, связанной с авиацией, включая навигационные базы данных, наборы данных NOTAM, электронные сборники AIP и бортовые системы для таких самолетов, как Boeing 737. В документе также указаны объемы, сведения о лицензировании, частота обновлений и примечания по использованию, что создает впечатление подлинного сводного заказа.

Уровень детализации и использование отраслевой терминологии позволяют предположить, что этот документ предназначен для специалистов и организаций в области авиации.

Технический анализ

В этом разделе мы рассмотрим технический анализ файла, извлеченного из ZIP-архива. Найденный нами исполняемый файл называется «Под нужды поверхностной продукции ЦАИ.exe», что переводится как Подтверждение заказа на продукцию CAI.exe

После анализа метаданных с помощью инструментов статического анализа мы определили, что этот файл представляет собой 64-битный исполняемый файл Windows, скомпилированный на языке программирования Rust. Затем мы перешли к анализу вредоносной функциональности исполняемого файла, который мы разделили на два этапа: первый этап посвящен действиям, выполняемым исполняемым файлом на компьютере жертвы, а второй этап описывает, как исполняемый файл загружает и размещает полезную нагрузку второго этапа с удаленного сервера, в зависимости от злоумышленника, что именно он пытается загрузить на компьютеры жертвы.

Этап 1 – Анализ вредоносного исполняемого файла

При первоначальном изучении вредоносного исполняемого файла мы обнаружили, что он запускает файл .docx, о котором мы говорили выше, выступающий в качестве приманки, отвлекающей внимание жертвы.

Исполнение подставного документа

Мы обнаружили, что в исполняемый файл явно встроен документ. Сразу после запуска этот документ отображается на экране пользователя, чтобы отвлечь жертву и создать иллюзию безобидного приложения.

В рекламном документе содержится деловое сообщение, написанное на русском языке и подписанное «Олимовым Ж.М.». Оно оформлено так, будто это настоящее сообщение от авиационной компании, заинтересованной в долгосрочной сделке.

В сообщении упоминаются продукты, связанные с авиацией, такие как лицензии Aerolotsia PRO, базы данных NOTAM, AIP для России и СНГ, а также аэронавигационные карты для таких самолетов, как Boeing 737, Ил-76 и Boeing 777F. Также упоминаются лицензии для планшетов. Уровень детализации, включая номера лицензий и регионы, делает сообщение очень реалистичным.

В сообщении также упоминается предстоящее мероприятие «Беспилотная авиация 2026» в Москве 23 апреля, что позволяет предположить, что злоумышленник целенаправленно атакует русскоязычных жертв, которые могут посетить это мероприятие.

Отпечатки пальцев системы

После выполнения поддельного документа вредоносная программа немедленно начинает сбор системной информации для создания уникального профиля жертвы.

Вредоносная программа получает имя хоста компьютера с помощью функции GetComputerNameExW и серийный номер тома диска C: с помощью функции GetVolumeInformationW. Затем эти значения объединяются с помощью операции XOR и преобразуются в десятичное строковое представление, образуя уникальный идентификатор компьютера для системы жертвы.

Разведка окружающей среды и сетей

После создания уникального идентификатора для компьютера жертвы вредоносная программа собирает дополнительную информацию о системе и сети. Этот этап обрабатывается внутренним модулем и фокусируется как на данных пользователя, так и на информации о сети.

Во-первых, вредоносная программа собирает важные переменные окружения:

  • USER – имя пользователя, вошедшего в систему в данный момент.
  • USERDNSDOMAIN – доменное имя
  • COMPUTERNAME – имя хоста системы.
  • ПРОФИЛЬ ПОЛЬЗОВАТЕЛЯ – путь к профилю пользователя

 

Далее вредоносная программа собирает сетевую информацию. Она сканирует все сетевые адаптеры с помощью GetAdaptersAddresses и извлекает их IPv4-адреса. Эти IP-адреса преобразуются в читаемый формат с помощью InetNtopW. Она также собирает имена адаптеров и информацию, связанную с DNS.

Затем все эти данные организуются и подготавливаются для отправки на сервер управления и контроля (C2).

эксфильтрации

Вредоносная программа собирает всю информацию о жертве и преобразует её в формат JSON с помощью библиотеки serde_json. Она формирует этот JSON шаг за шагом, добавляя каждый фрагмент данных в виде пары ключ-значение.

После создания данных в формате JSON вредоносная программа шифрует их с помощью простого метода XOR. Затем эти зашифрованные данные отправляются на сервер cdn[.]kleymarket[.]ru по протоколу HTTPS (порт 443) с помощью HTTP POST-запроса.

Этап 2 – Вторая ступень сброса полезной нагрузки

На втором этапе мы рассмотрим переход вредоносной программы от сбора данных к доставке конечной полезной нагрузки. После получения зашифрованного ответа от сервера управления и контроля (C2) вредоносная программа расшифровывает полезную нагрузку с помощью многоступенчатых алгоритмов расшифровки и извлекает её. Затем вредоносная программа сохраняет полезную нагрузку со случайным именем файла в одной из директорий и запускает её на машине жертвы.

Расшифровка полезной нагрузки

Зашифрованные данные с сервера управления и контроля (C2) расшифровываются в несколько этапов. Сначала вредоносная программа извлекает из ответа сервера два значения, которые используются в качестве ключа AES. Затем она расшифровывает данные с помощью алгоритма AES-256 блоками.

Сброс и выполнение полезной нагрузки

После расшифровки полезной нагрузки вредоносная программа создает случайное 6-символьное имя файла, используя буквы и цифры, и добавляет расширение .exe. Вредоносная программа записывает полезную нагрузку непосредственно на диск с помощью NtWriteFile. Она сохраняет файл в одном из следующих мест:

  • %ПРОФИЛЬПОЛЬЗОВАТЕЛЯ%\Документы\ .Exe
  • C:\Users\Public\Documents\ .Exe

Наконец, вредоносная программа выполняет расшифрованную полезную нагрузку, используя API CreateProcessA. Полный путь к загруженному исполняемому файлу передается непосредственно в командной строке, без указания имени родительского приложения, запуская новый процесс на машине жертвы.

В следующем разделе мы рассмотрим инфраструктурные аспекты и вопросы атрибуции кампании.

Инфраструктура и атрибуция

Мы проанализировали инфраструктуру управления и контроля (C2), использованную в этой кампании, и обнаружили, что домен hxxp://kleymarket[.]ru был зарегистрирован совсем недавно, всего за 9 дней до нашего анализа. На момент расследования ни один из поставщиков решений в области безопасности не признал его вредоносным.

Данные пассивного DNS показывают, что домен со временем разрешался в несколько IP-адресов, в том числе:

45[.]142[.]36[.]76, 92[.]62[.]113[.]232, and 89[.]108[.]110[.]154

В последнем решении от 02.04.2026 указано, что домен 45[.]142[.]36[.]76, по всей видимости, является активным сервером управления и контроля, используемым в этой кампании. В отличие от этого, более старые записи от 2019 года указывают на то, что домен ранее использовался для других целей, прежде чем был повторно использован для этой деятельности.

Дальнейший анализ с использованием Валидин Подтверждается, что домен и связанный с ним поддомен разрешаются в IP-адрес 45[.]142[.]36[.]76, который, по всей видимости, является активной инфраструктурой управления и контроля, используемой в этой кампании. Этот IP-адрес размещен в AS48347 (MTW-AS), российской автономной системе, приблизительно расположенной в Москве, Россия.

На момент написания статьи мы не связываем эту кампанию с каким-либо известным субъектом угроз. Однако наблюдаемая тактика, инфраструктура и элементы социальной инженерии указывают на хорошо спланированную и целенаправленную операцию. Учитывая скрытый механизм доставки и целевую аудиторию, мы назвали эту кампанию «Операция «Тихий ротор»». Кампания, по всей видимости, тщательно спланирована и приурочена к форуму «Беспилотная авиация 2026» в Москве, что указывает на ориентацию на специалистов авиационной отрасли, которые, вероятно, посетят это мероприятие или будут с ним связаны.

Заключение

SEQRITE В лаборатории обнаружена целенаправленная фишинговая кампания, нацеленная на специалистов в евразийском секторе беспилотной авиации. Кампания использует реалистичные документы, связанные с авиацией, чтобы завоевать доверие жертвы, контент которых содержит ссылки на форум «Беспилотная авиация 2026» в Москве. Распространенное вредоносное ПО представляет собой исполняемый файл на языке Rust, который собирает системную информацию, взаимодействует с удаленным сервером по зашифрованному протоколу HTTPS и загружает полезную нагрузку второго этапа для выполнения.

Инфраструктура, используемая в этой кампании, минимальна и недолговечна, она основана на недавно зарегистрированном домене .ru. На момент написания статьи мы не связываем эту кампанию с каким-либо известным субъектом угроз. Однако использование русскоязычных приманок и контекстно-специфического контента предполагает, что кампания ориентирована на регион и нацелена на жертв в рамках одной и той же экосистемы.

Seqrite Protection

Троян.Win64

Индикаторы компрометации (IOC)

Хеш (SHA-256) Файл
5936f42ffd7fa7896eeae725b60a5d26bbf3e584712671ef5da0138ee5d58f60 Подтверждение заказа продукции ЦАИ.exe
fdef9e489f773319f55f92f712d1b7b5447d59a632b8f4173d1b161d3759ad92 cai partner (1).zip
57e26f6e3b311a1064c946b69159ee05abedf9228b2f95c65536429e7ac7fb24 cai partner.zip
a7bd8869293212e1671df90d2d41b96d4933eb9408b1111bd830e111a91bb202 Сертификат перевода.PDF
2064ef387ac9e51ba72b32004d99e8a0b291dbab24ed8db30f437abf1b40cb49 Подтверждение заказа на продукцию CAICA и организация встречи на форуме «Беспилотная авиация – 2026» для обсуждения деталей оплаты и подписания долгосрочного контракта.docx
89f8e42c825d09a0a50e99bbf7304d7037be33ea362a57d34f87fa7981f80126 summary_order_cai_final.xlsx

URL-адреса

45 [.] 142 [.] 36 [.] 76
cdn[.]kleymarket[.]ru

MITRE ATT&CK Картографирование

тактика Идентификатор техники Название техники
Первоначальный доступ T1566.001 Фишинг: Целевое фишинговое вложение
Типы T1204.002 Пользовательское выполнение: вредоносный файл
Типы T1059.003 Интерпретатор команд и сценариев: командная оболочка Windows
Типы T1106 Родной API
Уклонение от защиты T1036.004 Маскарадинг: Соответствие законному имени или местоположению
Уклонение от защиты T1027 Замаскированные файлы или информация
Уклонение от защиты T1140 Деобфускация/декодирование файлов или информации
Дискавери T1082 Обнаружение системной информации
Дискавери T1016 Обнаружение конфигурации сети системы
Дискавери T1033 Обнаружение владельца системы/пользователя
Дискавери T1083 Обнаружение файлов и каталогов
Управление и контроль T1071.001 Протокол прикладного уровня: веб-протоколы
Управление и контроль T1090.001 Прокси: внутренний прокси
эксфильтрации T1041 Эксфильтрация через канал C2
Влияние T1105 Входной инструмент передачи

Авторы

Прия Патель

Раяпати Лакшми Прасанна Саи

Прия Патель

О Прие Патель

...

Статьи Прии Патель »

Похожие статьи