Ландшафт кіберзагроз постійно еволюціонує, і останні дослідження експертів з інформаційної безпеки виявили надзвичайно витончену схему кіберзлочинців, спрямовану проти російського корпоративного сектору. Зловмисники розробили інноваційний метод доставки шкідливого програмного забезпечення, використовуючи популярні онлайн-платформи як проміжну ланку для розміщення зашифрованого коду Cobalt Strike Beacon.
Хронологія та географія кіберкампанії
Перші ознаки цієї кіберкампанії були зафіксовані в другій половині 2024 року. Спочатку під удар потрапили організації в Росії, Китаї, Японії, Малайзії та Перу, що свідчило про широкомасштабний характер операції. На початку 2025 року активність зловмисників значно знизилася, проте в липні того ж року ситуація кардинально змінилася.
Аналіз нових зразків шкідливого ПЗ показав, що хакери переорієнтували свою діяльність виключно на російські підприємства. Основними цілями стали представники великого та середнього бізнесу, що вказує на цілеспрямований характер атак.
Анатомія кібератаки: від фішингу до повного контролю
Початкова фаза: соціальна інженерія
Атака розпочинається з розсилання ретельно підготовлених фішингових повідомлень, які імітують офіційну кореспонденцію від великих державних корпорацій. Особлива увага приділяється компаніям нафтогазового сектору, що значно підвищує довіру потенційних жертв до отриманих листів.
Кіберзлочинці створюють переконливу легенду про зацікавленість у продуктах або послугах цільової організації. До листа додається шкідливий архів, що містить файли, замасковані під PDF-документи з технічними вимогами та специфікаціями.
Технічна реалізація: DLL Hijacking та експлуатація легітимних утиліт
Для запуску шкідливого коду застосовується метод DLL hijacking (підміна бібліотек динамічного зв’язування) у поєднанні з експлуатацією легітимної утиліти BsSndRpt.exe. Ця програма є частиною рішення BugSplat і призначена для автоматичної відправки звітів про збої в роботі додатків.
Маніпулюючи шляхами завантаження бібліотек, зловмисники змушують легітимну утиліту завантажувати та виконувати шкідливий код замість штатних компонентів системи.
Революційний підхід: використання публічних платформ
Найбільш примітною особливістю цієї кампанії є креативне використання легітимних онлайн-сервісів для зберігання зашифрованого шкідливого коду. Хакери розміщують корисне навантаження в репозиторіях GitHub, а посилання на нього приховують у профілях на різних платформах:
• GitHub – основне сховище шкідливого коду
• Microsoft Learn Challenge – освітня платформа Microsoft
• Quora – міжнародний сервіс питань та відповідей
• Російські соціальні мережі – локальні платформи
Усі задіяні облікові записи були створені спеціально для проведення цієї атаки, що виключає компрометацію акаунтів реальних користувачів.
Наслідки успішної атаки та потенційні ризики
Після виконання всіх етапів атаки на пристрої жертви активується Cobalt Strike Beacon – потужний інструмент для віддаленого керування скомпрометованими системами. Це надає зловмисникам повний контроль над інфраструктурою організації та можливість проведення подальших операцій, включаючи крадіжку конфіденційних даних, розгортання додаткового шкідливого ПЗ або організацію атак на партнерів.
Стратегії захисту та превентивні заходи
Сучасні кіберзагрози демонструють високий рівень адаптивності та винахідливості. Для ефективного протистояння таким атакам організаціям необхідно впровадити багаторівневий підхід до забезпечення інформаційної безпеки.
Ключові рекомендації включають регулярне навчання співробітників розпізнаванню фішингових атак, впровадження сучасних систем виявлення загроз, що здатні аналізувати поведінку файлів у пісочниці, та встановлення суворих політик безпеки при роботі з зовнішніми файлами. Особливу увагу слід приділити моніторингу мережевого трафіку та блокуванню доступу до підозрілих репозиторіїв GitHub з корпоративних мереж. Тільки комплексний підхід дозволить ефективно протистояти постійно еволюціонуючим кіберзагрозам та забезпечити надійний захист критично важливої корпоративної інформації.
