vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💎
В октябре 2025 года наша команда киберразведки департамента Threat Intelligence зафиксировала продолжающуюся фишинговую активность хакерской группировки, которую мы назвали NetMedved. Обоснование выбора данного наименования будет рассмотрено в заключительной части статьи. Атаки хакеров ориентированы на российские организации; в качестве конечной полезной нагрузки используется вредоносная версия легитимного инструмента удалённого администрирования NetSupport Manager (далее — NetSupportRAT). В этой статье расскажем о специфике кампании и связи с нашими предыдущими находками.
Первые фишинговые рассылки фиксировались нами в середине октября 2025 года. К этой дате относится использование ресурса cdn-reserved[.]com. Жертвам рассылаются архивы (Рисунок 1), содержащие набор документов-приманок (Рисунок 2), имитирующих документооборот российских компаний: карточки контрагента, приказы о назначении, свидетельства о постановке на учёт и другие формально оформленные файлы, визуально и по содержанию близкие к реальным материалам бухгалтерии, тендерных отделов и служб снабжения. Внутри таких архивов рядом с приманочными документами размещается замаскированный вредоносный LNK-файл, оформленный под очередной документ или сопроводительный файл.
Рисунок 1. Содержимое архива
Рисунок 2. Документ-приманка
Рисунок 3. Документ-приманка
Вредоносный LNK-файл на системе жертвы запускает PowerShell в скрытом режиме с командой из тела LNK.
- В начале команды вставлена последовательность из наборов букв, визуально похожих на слова.
- Подгружается сборка System.Windows.Forms для последующих проверок окружения.
- Выполняются антианализ-проверки:
- По процессам: поиск работающих инструментов отладки/мониторинга (Procmon/Procmon64, Process Hacker, x64dbg/x32dbg, Wireshark, Fiddler, IDA).
- По аппаратным признакам: выход при количестве логических процессов < 2 или разрешении экрана ниже порогов (ширина < 800, высота < 600).
Рисунок 4. Содержимое LNK-файла
Отдельно следует отметить, что перенос развернутой антианализ-логики непосредственно в командную строку LNK-файла представляет собой характерную особенность.
В типичных фишинговых сценариях LNK ограничивается командой запуска PowerShell или другого интерпретатора без сложных проверок окружения.
При успешном прохождении антиотладочных проверок LNK-файл инициирует загрузку и выполнение PowerShell-сценария, который создаёт рабочий каталог в LocalAppData, скачивает с задействованного домена ZIP-архив, замаскированный под PDF-документ, и распаковывает его штатными средствами Windows. Далее из распакованного каталога запускается документ-приманка и параллельно исполняется NetSupportRAT, после чего в планировщике Windows создаётся задача с автозапуском этого модуля при входе пользователя в систему, что обеспечивает закрепление вредоносного ПО в системе.
Рисунок 5. Содержимое PowerShell-скрипта
Рисунок 6. Содержимое архива
Рисунок 7. Документ-приманка
Состав такого архива помимо NetSupportRAT и документа-приманки включает исполняемый набор необходимых библиотек для корректной работы ВПО и конфигурационный файл client32.ini, в котором жёстко заданы домены, используемые в качестве серверов управления и точек подключения клиента. Характерной деталью является то, что используемая в кампании сборка NetSupportRAT по метаданным датируется 2017 годом и не является новой разработкой: аналогичные бинарные экземпляры ранее уже фигурировали в ряде операций, а в 2023 году исследователи VMware отдельно описывали кампанию с применением той же сборки NetSupportRAT.
К концу октября и началу ноября 2025 года атаки расширилась за счёт использования домена metrics-strange[.]com и структурно повторяли общую схему:
- Рассылка первичного архива с документами приманками и вредоносного LNK-файла.
- Распаковка архива и последующий запуск LNK-файла жертвой.
- Скачивание следующего стейджа в виде Powershell-скрипта с его последующим запуском.
- Скачивание архива, замаскированного под pdf-файл, его последующая распаковка, запуск NetSupportRAT, документа-приманки и закрепление через планировщик задач.
- Установление соединения с С2 NetSupportRAT.
Рисунок 8. Цепочка атаки с использованием PowerShell скрипта
Одновременно с этим в первых числах ноября операторы ВПО модифицировали цепочку отказавшись от PowerShell-скрипта. Первичная нагрузка оставалась прежней – архив с документами-приманками и вредоносным LNK-файлом.
Рисунок 9. Содержимое LNK-файла
Теперь же LNK-файл работает иначе и демонстрирует ещё один характерный приём этой кампании. В LNK также присутствует длинная последовательность символов, однако вместо скачивания PowerShell-скрипта запускается командная строка Windows, в которой выполняется запрос finger к узлу api.metrics-strange[.]com. Ключевой приём заключается в том, что вывод этого запроса целиком перенаправляется в cmd для немедленного исполнения, в результате чего код второй стадии доставляется не из локального файла и не из явно загружаемого скрипта, а динамически подгружается с удалённого сервера через протокол finger и воспринимается оболочкой как обычный пакет команд.
Изначально finger предназначен для запроса базовой информации о пользователях на удалённых Unix-системах (логин, каталог, статус, поле Plan) и сейчас практически не используется в легитимной инфраструктуре. На большинстве корпоративных сетей он либо не задействован, либо включён по умолчанию. Атаки с применением finger встречаются значительно реже по сравнению с классическими каналами доставки через HTTP(S), PowerShell, Office-макросы или архивы, и чаще носят экспериментальный или единичный характер.
Вывод команды finger:
Рисунок 10. Вывод результата команды finger
Внутри кода реализуется проверка на наличие процессов, связанных с отладкой и анализом, а также фильтрация по числу процессоров, что позволяет отсечь часть исследовательских и виртуальных сред. При успешном прохождении этих проверок создаётся случайный путь в LocalAppData, с помощью where находится легитимная утилита curl, её копия сохраняется под случайным именем и используется для загрузки zip-архива с домена metrics-strange[.]com, замаскированного под PDF. Затем создаётся каталог, содержимое архива распаковывается встроенной утилитой tar, пользователю открывается документ-приманка, а параллельно через rundll32 запускается NetSupportRAT. В завершение при помощи PowerShell создаётся задача планировщика с автозапуском Fosters при входе пользователя в систему, что обеспечивает закрепление.
Рисунок 11. Цепочка атаки с использованием сервиса finger
Дополнительного внимания заслуживает формат комментариев в теле возвращаемого через finger сценария. Строки, начинающиеся с :: и содержащие последовательности вида ╨M-^_╤M-^@..., представляют собой характерный артефакт повреждённой кириллической кодировки. При восстановлении текста получаем следующий код:
Исходный текст | Декодированный текст |
╨M-^_╤M-^@╨╛╨▓╨╡╤M-^@╤M-^O╨╡╨╝ ╨╖╨░╨┐╤M-^@╨╡╤M-^I╤M-^Q╨╜╨╜╤M-^K╨╡ ╨┐╤M-^@╨╛╤M-^F╨╡╤M-^A╤M-^A╤M-^K | Проверяем запрещённые процессы |
╨M-^_╤M-^@╨╛╨▓╨╡╤M-^@╤M-^O╨╡╨╝ ╨║╨╛╨╗╨╕╤M-^G╨╡╤M-^A╤M-^B╨▓╨╛ ╨╗╨╛╨│╨╕╤M-^G╨╡╤M-^A╨║╨╕╤M-^E ╨┐╤M-^@╨╛╤M-^F╨╡╤M-^A╤M-^A╨╛╤M-^@╨╛╨▓ | Проверяем количество логических процессоров |
╨M-^R╤M-^A╨╡ ╨┐╤M-^@╨╛╨▓╨╡╤M-^@╨║╨╕ ╨┐╤M-^@╨╛╨╣╨┤╨╡╨╜╤M-^K тM-^@M-^T ╨╖╨░╨┐╤M-^C╤M-^A╨║╨░╨╡╨╝ | Все проверки пройдены — запускаем |
На уровне инфраструктуры прослеживается разделение ролей: отдельные домены используются для доставки вредоносного содержимого и псевдо-PDF-архивов, а набор других доменов задействуется в качестве C2 для NetSupportRAT через конфигурационный файл client32.ini.
Анализ client32.ini, входящих в состав всех обнаруженных архивов и каталогов с NetSupportRAT, позволяет выделить набор доменов, задействованных в качестве серверов управления.
Таблица 1. Командные сервера управления NetSupportRAT
Домен | ip | asn | провайдер | Описание | Дата регистрации |
tvfilia.com | 31.214.157.85 | 58329 | servinga GmbH | GatewayAddress | 11.05.2025 |
bspaco.com | - | - | - | SecondaryGateway | 12.05.2025 |
skillswar.com | 185.158.249.54 | 58329 | servinga GmbH | GatewayAddress | 11.05.2025 |
pauldv.com | - | - | - | SecondaryGateway | 12.05.2025 |
abxweb.com | 185.158.249.64 | 58329 | servinga GmbH | GatewayAddress | 03.11.2024 |
pdfbypari.com | 80.66.76.115 | 213010 | Nethost-net Gening Nikita Dmitrievich | SecondaryGateway | 03.11.2024 |
nbmovies.net | 65.109.65.153 | 24940 | Hetzner Online GmbH | SecondaryGateway | 19.11.2024 |
nicevn.net | 31.214.157.214 | 58329 | servinga GmbH | GatewayAddress | 19.11.2024 |
Таблица 2. Сервера распространения Powershell-скриптов и архивов с NetSupportRAT
Домен | ip | asn | провайдер | Дата регистрации |
cdn-reserved.com | 104.21.67.63 | 13335 | CloudFlare | 10.10.2025 |
metrics-strange.com | 104.21.40.161 | 13335 | CloudFlare | 29.10.2025 |
api.metrics-strange.com | 144.124.234.163 | 216071 | Servers Tech Fzco | 29.10.2025 |
x-projectlys.com | 104.21.85.42 | 13335 | CloudFlare | 10.11.2025 |
sara.x-projectlys.com | 144.124.233.138 | 216071 | Servers Tech Fzco | 10.11.2025 |
При ретроспективном анализе связей между файлами конфигурации NetSupport RAT и архивами, в составе которых они распространялись, нами была выявлена фишинговая активность, датируемая серединой августа — началом сентября текущего года и атрибутируемая данной хакерской группировке. В рамках этой кампании вредоносное ПО распространялось с домена real-fishburger[.]com.
Помимо вышеупомянутой цепочки с LNK-файлом и PowerShell-скриптом (рис. 7), операторы ВПО также распространяли вредоносные HTA-файлы. При их запуске реализовывалась следующая логика:
- Декодирование и отображение приманки.
- Развёртывание NetSupport RAT.
- Закрепление в системе.
Рисунок 12. Документ-приманка генерируемая hta-файлом
Сопоставление этой кампании с ранее зафиксированными атаками с применением Lumma Stealer и NetSupportRAT выявляет инфраструктурное пересечение. В начале декабря 2024 года мы описали вредоносную кампанию, в рамках которой использовался GitHub-репозиторий NonaDoc/Nonadoc для распространения документов-приманок и вредоносного ПО, включая Lumma Stealer и NetSupport RAT. В тех эпизодах источниками заражения выступали LNK-файлы, маскирующиеся под документы российских организаций, а домены abxweb[.]com и pdfbypari[.]com использовались злоумышленниками в качестве серверов доставки и управления NetSupportRAT.
В текущей кампании 2025 года домены abxweb[.]com и pdfbypari[.]com вновь появляются, но теперь уже явно зашиваются в конфигурационные ini-файлы для NetSupportRAT, распространяемого через новую cетевую инфраструктуру. Переход от GitHub-репозитория к собственным доменам доставки и отказ от использования Lumma Stealer не выглядит сменой акторов, а скорее эволюцией тактики после публичного освещения предыдущих эпизодов.
Учитывая использование одних и тех же доменов в обеих кампаниях, повторное применение NetSupportRAT в роли основного инструмента удалённого доступа, схожие приёмы социальной инженерии с LNK-файлами и архивами с документами-приманками, а также лингвистические паттерны, такие как учётная запись GitHub под именем prevedmedved6724993, отсылающая к русскоязычному мему, и кириллические комментарии в коде, возвращаемом по протоколу finger, можно предположить, что наблюдаемая кампания 2025 года и зафиксированная активность 2024 года относятся к одной и той же хакерской группировке, последовательно развивающей и переиспользующей собственную инфраструктуру и TTP. На основе указанных выше пересечений этот кластер обозначен нами как TA NetMedved: компонент Net отражает использование NetSupportRAT, а Medved — отсылку к учётной записи prevedmedved6724993 как характерному лингвистическому маркеру инфраструктуры злоумышленников.
Источник
