От первого клика до полной компрометации системы проходят считанные минуты.
Группа APT-C-60, ранее уже замеченная в целевых атаках на японские организации, продолжает использовать те же подходы, сочетая проверенные приёмы с обновлёнными техническими деталями. В последние месяцы специалисты JPCERT новую волну атак, ориентированных на сотрудников, занимающихся подбором персонала. Вновь задействована схема с фальшивыми резюме, но теперь вредоносные вложения доставляются напрямую через письма, минуя сторонние хранилища.
Рассылка фишинговых сообщений осуществляется якобы от имени соискателей. В теле письма содержится вложенный файл формата VHDX, в котором спрятан LNK-ярлык. При его запуске активируется сценарий, использующий легитимный исполняемый файл gcmd.exe из комплекта Git. Этот скрипт выводит подставной документ, параллельно создавая и запускающий дополнительный компонент WebClassUser.dat — загрузчик первой ступени, сохраняемый в реестре и выполняемый через перехват COM-классов.
Обновлённый Downloader1 связывается с сайтом statcounter и передаёт данные о заражённой машине, включая серийный номер тома и имя компьютера. Эта же связка используется в качестве имени файла, загружаемого с GitHub. В нём указаны инструкции и ссылки для скачивания второго компонента — Downloader2, способного не только доставлять полезную нагрузку, но и выполнять команды, позволяющие изменить частоту связи с сервером или инициировать загрузку DLL.
Downloader2 загружает шпионское ПО SpyGlace и его загрузчик. Все передаваемые данные шифруются с помощью XOR, а затем — в случае самого SpyGlace — ещё и AES-алгоритмом с фиксированными ключом и вектором инициализации. SpyGlace поддерживает динамическое разрешение API с помощью схемы, сочетающей сложение и побитовые операции. Зафиксировано три новых версии — 3.1.12, 3.1.13 и 3.1.14. В последней из них добавлена команда uld, выгружающая модуль после вызова нужной функции, а также изменён путь автозапуска.
Передача данных с заражённого устройства на управляющие серверы осуществляется через комбинацию BASE64 и модифицированного RC4. Каждый запрос содержит значения, включая MD5-хеш строки «GOLDBAR», сведения о системе и зашифрованный блок с уникальной информацией о машине. Этот же идентификатор ранее фигурировал в атаках на Японию, зафиксированных другими организациями.
В качестве приманки используется поддельное резюме с перечнем научных публикаций. Однако имена настоящих авторов не совпадают с отправителем письма. В резюме указано имя, частично совпадающее с адресом Gmail, что позволяет предположить, что аккаунт создавался специально для этой атаки.
Роль GitHub в инфраструктуре APT-C-60 стала более заметной: через репозитории распространяются все версии вредоносного кода, а также хранятся управляющие файлы. Исследователи успели зафиксировать даты загрузки всех новых версий SpyGlace, а также извлекли адреса электронной почты и сведения о заражённых устройствах из истории коммитов.
Несмотря на переход с Bitbucket на GitHub и отдельные обновления вредоносных компонентов, стиль APT-C-60 остаётся прежним — акцент на Восточную Азию, использование легитимных сервисов для доставки и управления, а также продуманная маскировка. Специалисты советуют сохранять повышенное внимание к подобным атакам, особенно при работе с почтой и обработке откликов на вакансии.
Подробнее:
Группа APT-C-60, ранее уже замеченная в целевых атаках на японские организации, продолжает использовать те же подходы, сочетая проверенные приёмы с обновлёнными техническими деталями. В последние месяцы специалисты JPCERT новую волну атак, ориентированных на сотрудников, занимающихся подбором персонала. Вновь задействована схема с фальшивыми резюме, но теперь вредоносные вложения доставляются напрямую через письма, минуя сторонние хранилища.
Рассылка фишинговых сообщений осуществляется якобы от имени соискателей. В теле письма содержится вложенный файл формата VHDX, в котором спрятан LNK-ярлык. При его запуске активируется сценарий, использующий легитимный исполняемый файл gcmd.exe из комплекта Git. Этот скрипт выводит подставной документ, параллельно создавая и запускающий дополнительный компонент WebClassUser.dat — загрузчик первой ступени, сохраняемый в реестре и выполняемый через перехват COM-классов.
Обновлённый Downloader1 связывается с сайтом statcounter и передаёт данные о заражённой машине, включая серийный номер тома и имя компьютера. Эта же связка используется в качестве имени файла, загружаемого с GitHub. В нём указаны инструкции и ссылки для скачивания второго компонента — Downloader2, способного не только доставлять полезную нагрузку, но и выполнять команды, позволяющие изменить частоту связи с сервером или инициировать загрузку DLL.
Downloader2 загружает шпионское ПО SpyGlace и его загрузчик. Все передаваемые данные шифруются с помощью XOR, а затем — в случае самого SpyGlace — ещё и AES-алгоритмом с фиксированными ключом и вектором инициализации. SpyGlace поддерживает динамическое разрешение API с помощью схемы, сочетающей сложение и побитовые операции. Зафиксировано три новых версии — 3.1.12, 3.1.13 и 3.1.14. В последней из них добавлена команда uld, выгружающая модуль после вызова нужной функции, а также изменён путь автозапуска.
Передача данных с заражённого устройства на управляющие серверы осуществляется через комбинацию BASE64 и модифицированного RC4. Каждый запрос содержит значения, включая MD5-хеш строки «GOLDBAR», сведения о системе и зашифрованный блок с уникальной информацией о машине. Этот же идентификатор ранее фигурировал в атаках на Японию, зафиксированных другими организациями.
В качестве приманки используется поддельное резюме с перечнем научных публикаций. Однако имена настоящих авторов не совпадают с отправителем письма. В резюме указано имя, частично совпадающее с адресом Gmail, что позволяет предположить, что аккаунт создавался специально для этой атаки.
Роль GitHub в инфраструктуре APT-C-60 стала более заметной: через репозитории распространяются все версии вредоносного кода, а также хранятся управляющие файлы. Исследователи успели зафиксировать даты загрузки всех новых версий SpyGlace, а также извлекли адреса электронной почты и сведения о заражённых устройствах из истории коммитов.
Несмотря на переход с Bitbucket на GitHub и отдельные обновления вредоносных компонентов, стиль APT-C-60 остаётся прежним — акцент на Восточную Азию, использование легитимных сервисов для доставки и управления, а также продуманная маскировка. Специалисты советуют сохранять повышенное внимание к подобным атакам, особенно при работе с почтой и обработке откликов на вакансии.
Подробнее:
