Mastodon Mastodon Mastodon Mastodon

Операция DragonReturn — многоступенчатая кампания по доставке DCRat через фишинг налоговой тематики

Фото автора

CyberSecureFox Editorial Team

Опубликовано:

Исследователи Seqrite Labs раскрыли многоступенчатую фишинговую кампанию, получившую кодовое название Operation DragonReturn, нацеленную на индийских налогоплательщиков, налоговых специалистов и корпоративные финансовые подразделения. Кампания, впервые зафиксированная 18 мая 2026 года, приурочена к сезону подачи налоговых деклараций в Индии и использует поддельные письма от имени Департамента подоходного налога для доставки трояна удалённого доступа DCRat. Конечная цель — кража учётных данных, финансовой информации и систематическая эксфильтрация данных с заражённых систем.

Цепочка заражения: от фишинга до закрепления в системе

Атака начинается с целевых фишинговых писем, имитирующих уведомления индийской налоговой службы о нарушениях и штрафах. По данным исследователей Dixit Panchal и Soumen Burma из Seqrite Labs, приманки содержат реальные юридические ссылки и двуязычный контент, что указывает на целенаправленную и ресурсоёмкую операцию. PDF-вложения содержат вредоносную ссылку, ведущую на поддельную страницу, которая предлагает загрузить ZIP-архив, замаскированный под официальную утилиту для подачи деклараций.

Архив запускает цепочку DLL sideloading: легитимное приложение загружает вредоносную библиотеку nvdaHelperRemote.dll, которая инжектирует полезную нагрузку в память. Далее малварь выполняет следующие действия:

  • Проверяет наличие административных привилегий и при необходимости инициирует запрос UAC для повышения прав
  • Выполняет проверки на наличие среды анализа и песочницы
  • Загружает JPG-изображение (lllyd.jpg) с жёстко заданного сервера и сохраняет его как C:\Windows\background.jpg

Стеганография и закрепление через службы Windows

Загруженное изображение служит контейнером для скрытой полезной нагрузки — из него извлекается DLL размером 504 КБ, которая записывается в каталог C:\Program Files\Windows Media Player\. После извлечения малварь копирует себя как Mixed Reality.exe и создаёт службу Windows с именем MixedSvc, настроенную на автоматический запуск при загрузке системы. Этот механизм обеспечивает долгосрочное присутствие на заражённой машине.

Компонент Mixed Reality.exe разворачивает два отдельных модуля:

  1. Загрузчик на .NET — выполняет антианалитические проверки, отключает сканирование Windows AMSI, расшифровывает и загружает DCRat
  2. Модуль эксфильтрации — делает снимки экрана и передаёт данные на удалённый сервер

Индикаторы компрометации

По данным исследования, зафиксированы следующие IOC:

  • Домены:govtop[.]one, kkxqbh[.]top
  • IP-адреса:204.194.48[.]250 (сервер загрузки полезной нагрузки), 223.26.63[.]40 (C2-сервер DCRat)
  • Файлы:nvdaHelperRemote.dll, lllyd.jpg, Mixed Reality.exe
  • Служба Windows:MixedSvc

Как сообщается, на C2-сервере DCRat по адресу 223.26.63[.]40 была обнаружена панель управления с китайскоязычным интерфейсом.

Контекст угрозы и связь с другими кампаниями

Параллельно с Operation DragonReturn компания LevelBlue зафиксировала две отдельные кампании по распространению ValleyRAT — трояна удалённого доступа, нацеленного на китайско- и японскоязычных пользователей. Одна кампания использует поддельные установщики мессенджера LINE, другая — фишинговые письма с приманками о корректировке зарплаты.

Цепочка атаки с поддельными установщиками, по данным Cybereason, применяет технику инжекции PoolParty Variant 7 для внедрения шелл-кода в процесс explorer.exe. Эта же техника ранее наблюдалась в связи с загрузчиком SADBRIDGE, предназначенным для развёртывания GOSAR — реализации Quasar RAT на языке Go. По данным Elastic Security Labs, связанный набор вторжений, атаковавший китайскоязычные регионы через вредоносные установщики Telegram и Opera, был атрибутирован группе REF3864.

Важно подчеркнуть: атрибуция Operation DragonReturn конкретному актору остаётся предположительной. Исследователь Cybereason Hajime Takai в феврале 2026 года отмечал, что совпадения между кампаниями могут указывать на одного и того же актора, однако убедительных доказательств недостаточно. Связь Operation DragonReturn с ранее известными группами основана на инфраструктурных признаках и не подтверждена независимыми источниками.

Оценка воздействия

Кампания представляет высокий риск для индийской налоговой экосистемы — налогоплательщиков, бухгалтеров, налоговых консультантов и финансовых подразделений компаний. Привязка к сезону подачи деклараций повышает вероятность успешной социальной инженерии: жертвы ожидают коммуникаций от налоговых органов и привыкли загружать утилиты с государственных порталов. Использование реальных юридических цитат и двуязычного контента в приманках свидетельствует о глубоком понимании целевой аудитории.

Компрометация может привести к утечке налоговых данных, финансовой документации, учётных записей и корпоративных секретов. Закрепление через службу Windows обеспечивает устойчивый доступ, который может оставаться незамеченным длительное время.

Рекомендации по защите

  • Блокировка IOC: немедленно добавьте указанные домены, IP-адреса и URL в правила блокировки на межсетевых экранах и прокси-серверах
  • Мониторинг DLL sideloading: настройте обнаружение загрузки nvdaHelperRemote.dll из нестандартных каталогов, а также создания службы MixedSvc
  • Проверка файловой системы: выполните поиск файлов Mixed Reality.exe, C:\Windows\background.jpg и nvdaHelperRemote.dll в каталоге Windows Media Player на рабочих станциях
  • Контроль AMSI: отслеживайте попытки отключения Windows AMSI — это один из индикаторов активности загрузчика
  • Обучение персонала: предупредите финансовые и бухгалтерские подразделения о том, что официальные утилиты налоговой службы Индии следует загружать исключительно с портала incometax.gov.in, а не по ссылкам из электронных писем
  • Ограничение UAC: рассмотрите ужесточение политик UAC для предотвращения повышения привилегий по запросу вредоносного ПО

Организациям, работающим с индийской налоговой инфраструктурой, следует провести ретроспективный поиск перечисленных IOC в журналах сетевого трафика и событий конечных точек за период с 18 мая 2026 года. Обнаружение любого из индикаторов требует немедленного реагирования на инцидент с изоляцией затронутых хостов и анализом масштаба компрометации — многоступенчатая архитектура кампании означает, что наличие одного артефакта с высокой вероятностью указывает на полную цепочку заражения.


CyberSecureFox Editorial Team

Редакция CyberSecureFox освещает новости кибербезопасности, уязвимости, malware-кампании, ransomware-активность, AI security, cloud security и security advisories вендоров. Материалы готовятся на основе official advisories, данных CVE/NVD, уведомлений CISA, публикаций вендоров и открытых отчётов исследователей. Статьи проверяются перед публикацией и обновляются при появлении новых данных.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.