Mastodon Mastodon Mastodon Mastodon

Фішингова операція DragonReturn проти індійських платників податків

Photo of author

CyberSecureFox Editorial Team

Опубліковано:

Дослідники Seqrite Labs розкрили багатоступеневу фішингову кампанію під кодовою назвою Operation DragonReturn, націлену на індійських платників податків, податкових фахівців і корпоративні фінансові підрозділи. Кампанія, вперше зафіксована 18 травня 2026 року, приурочена до сезону подання податкових декларацій в Індії та використовує підроблені листи від імені Департаменту прибуткового податку для доставки трояна віддаленого доступу DCRat. Кінцева мета — викрадення облікових даних, фінансової інформації та систематична ексфільтрація даних із заражених систем.

Ланцюжок зараження: від фішингу до закріплення в системі

Атака починається з цільових фішингових листів, що імітують сповіщення індійської податкової служби про порушення та штрафи. За даними дослідників Dixit Panchal і Soumen Burma із Seqrite Labs, приманки містять реальні юридичні посилання та двомовний контент, що вказує на цілеспрямовану й ресурсоємну операцію. PDF-вкладення містять шкідливе посилання, яке веде на підроблену сторінку, що пропонує завантажити ZIP-архів, замаскований під офіційну утиліту для подання декларацій.

Архів запускає ланцюжок DLL sideloading: легітимний застосунок завантажує шкідливу бібліотеку nvdaHelperRemote.dll, яка інжектує корисне навантаження в пам’ять. Далі шкідливе ПЗ виконує такі дії:

  • Перевіряє наявність адміністративних привілеїв і за потреби ініціює запит UAC для підвищення прав
  • Виконує перевірки на наявність середовища аналізу та пісочниці
  • Завантажує JPG-зображення (lllyd.jpg) з жорстко заданого сервера й зберігає його як C:\Windows\background.jpg

Стеганографія та закріплення через служби Windows

Завантажене зображення слугує контейнером для прихованого корисного навантаження — з нього витягується DLL розміром 504 КБ, яка записується до каталогу C:\Program Files\Windows Media Player\. Після вилучення шкідливе ПЗ копіює себе як Mixed Reality.exe і створює службу Windows з іменем MixedSvc, налаштовану на автоматичний запуск під час завантаження системи. Цей механізм забезпечує довготривалу присутність на зараженій машині.

Компонент Mixed Reality.exe розгортає два окремі модулі:

  1. Завантажувач на .NET — виконує перевірки протидії аналізу, вимикає сканування Windows AMSI, розшифровує та завантажує DCRat
  2. Модуль ексфільтрації — робить знімки екрана та передає дані на віддалений сервер

Індикатори компрометації

За даними дослідження, зафіксовано такі IOC:

  • Домени:govtop[.]one, kkxqbh[.]top
  • IP-адресы:204.194.48[.]250 (сервер завантаження корисного навантаження), 223.26.63[.]40 (C2-сервер DCRat)
  • Файли:nvdaHelperRemote.dll, lllyd.jpg, Mixed Reality.exe
  • Служба Windows:MixedSvc

Як повідомляється, на C2-сервері DCRat за адресою 223.26.63[.]40 було виявлено панель керування з китайськомовним інтерфейсом.

Контекст загрози та зв’язок з іншими кампаніями

Паралельно з Operation DragonReturn компанія LevelBlue зафіксувала дві окремі кампанії з розповсюдження ValleyRAT — трояна віддаленого доступу, націленого на китайськомовних і японськомовних користувачів. Одна кампанія використовує підроблені інсталятори месенджера LINE, інша — фішингові листи з приманками про коригування заробітної плати.

Ланцюжок атаки з підробленими інсталяторами, за даними Cybereason, застосовує техніку інжекції PoolParty Variant 7 для впровадження shell-коду в процес explorer.exe. Цю саму техніку раніше спостерігали у зв’язку із завантажувачем SADBRIDGE, призначеним для розгортання GOSAR — реалізації Quasar RAT мовою Go. За даними Elastic Security Labs, пов’язаний набір вторгнень, який атакував китайськомовні регіони через шкідливі інсталятори Telegram та Opera, було приписано групі REF3864.

Важливо підкреслити: атрибуція Operation DragonReturn конкретному актору залишається припущенням. Дослідник Cybereason Hajime Takai у лютому 2026 року зазначав, що збіги між кампаніями можуть вказувати на одного й того самого актора, однак переконливих доказів недостатньо. Зв’язок Operation DragonReturn із раніше відомими групами ґрунтується на інфраструктурних ознаках і не підтверджений незалежними джерелами.

Оцінка впливу

Кампанія становить високий ризик для індійської податкової екосистеми — платників податків, бухгалтерів, податкових консультантів і фінансових підрозділів компаній. Прив’язка до сезону подання декларацій підвищує ймовірність успішної соціальної інженерії: жертви очікують комунікацій від податкових органів і звикли завантажувати утиліти з державних порталів. Використання реальних юридичних цитат і двомовного контенту в приманках свідчить про глибоке розуміння цільової аудиторії.

Компрометація може призвести до витоку податкових даних, фінансової документації, облікових записів і корпоративних секретів. Закріплення через службу Windows забезпечує стійкий доступ, який може залишатися непоміченим тривалий час.

Рекомендації щодо захисту

  • Блокування IOC: негайно додайте вказані домени, IP-адреси та URL до правил блокування на міжмережевих екранах і проксі-серверах
  • Моніторинг DLL sideloading: налаштуйте виявлення завантаження nvdaHelperRemote.dll із нестандартних каталогів, а також створення служби MixedSvc
  • Перевірка файлової системи: виконайте пошук файлів Mixed Reality.exe, C:\Windows\background.jpg і nvdaHelperRemote.dll у каталозі Windows Media Player на робочих станціях
  • Контроль AMSI: відстежуйте спроби вимкнення Windows AMSI — це один з індикаторів активності завантажувача
  • Навчання персоналу: попередьте фінансові та бухгалтерські підрозділи про те, що офіційні утиліти податкової служби Індії слід завантажувати виключно з порталу incometax.gov.in, а не за посиланнями з електронних листів
  • Обмеження UAC: розгляньте посилення політик UAC для запобігання підвищенню привілеїв на запит шкідливого ПЗ

Організаціям, які працюють з індійською податковою інфраструктурою, слід провести ретроспективний пошук перелічених IOC у журналах мережевого трафіку та подій кінцевих точок за період із 18 травня 2026 року. Виявлення будь-якого з індикаторів потребує негайного реагування на інцидент з ізоляцією уражених хостів і аналізом масштабів компрометації — багатоступенева архітектура кампанії означає, що наявність одного артефакту з високою ймовірністю вказує на повний ланцюжок зараження.


CyberSecureFox Editorial Team

Редакція CyberSecureFox висвітлює новини кібербезпеки, уразливості, malware-кампанії, ransomware-активність, AI security, cloud security та security advisories вендорів. Матеріали готуються на основі official advisories, даних CVE/NVD, сповіщень CISA, публікацій вендорів і відкритих звітів дослідників. Статті перевіряються перед публікацією та оновлюються за появи нових даних.

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.