Дослідники Cyble та Seqrite Labs зафіксували цілеспрямовану операцію Operation SkyCloak, орієнтовану на оборонні та державні установи в Росії та Білорусі. Ключова особливість кампанії — довготривала прихована присутність у мережах жертв завдяки поєднанню бекдора на базі OpenSSH, прихованих сервісів Tor і обфускації трафіку obfs4, що суттєво знижує шанси на виявлення традиційними системами моніторингу.
Фішинг і початкова компрометація: LNK-ярлики та стейджинг через PowerShell
Початковий доступ забезпечується через фішингові листи з військовими документами-приманками. Усередині ZIP-архіву зловмисники приховують додаткову вкладеність: ще один архів і LNK-ярлик, запуск якого активує багатоступеневий PowerShell-дропер для розгортання компонентів. За телеметрією дослідників, пов’язані архіви потрапляли на VirusTotal у жовтні 2025 року з території Білорусі.
Антианаліз і правдоподібна «маска» робочої станції
PowerShell-стейджер виконує контекстні перевірки, щоби уникнути песочниць. Зокрема, зупиняється, якщо в системі менше 10 нещодавніх LNK-файлів або запущено менше 50 процесів — показникам, характерним для тестових середовищ, а не для активних робочих станцій.
Після проходження перевірок скрипт зберігає onion-адресу операторів (yuknkap4im65njr3tlprnpqwj4h7aal4hrn2tdieg75rpp6fx25hqbyd[.]onion) у файлі в профілі користувача, демонструє жертві правдоподібний PDF-приманку та створює задачу автозапуску githubdesktopMaintenance, що спрацьовує під час входу в систему та щодня о 10:21.
Стійкий доступ: OpenSSH як бекдор, Tor як C2, obfs4 як маскування
Завдання планувальника запускає logicpro/githubdesktop.exe — перейменований легітимний sshd.exe. Це дозволяє розгорнути SSH-сервіс із наперед встановленими ключами в користувацькому каталозі та використовувати SFTP для передачі файлів.
Паралельно інший планувальник виконує кастомізований бінарний файл Tor (logicpro/pinterest.exe), який піднімає прихований сервіс і підтримує зв’язок з інфраструктурою C2 через .onion-адреси. Застосування obfs4 ускладнює класифікацію трафіку навіть для систем з глибинним аналізом пакетів (DPI). Налаштовано переадресацію портів для RDP, SSH і SMB, що забезпечує стійкий віддалений доступ до ключових сервісів через Tor із збереженням анонімності операторів.
Після встановлення каналу шкідливе ПЗ збирає дані про хост, генерує унікальний .onion-hostname для ідентифікації інфікованого вузла і надсилає інформацію на C2 за допомогою curl. Отримавши URL жертви, зловмисники можуть керувати системою через SSH, RDP, SFTP та SMB, проксуючи весь трафік через Tor.
Атрибуція, тактики MITRE ATT&CK та аналітичний контекст
Остаточної атрибуції немає; дослідники згадують можливий зв’язок зі східноєвропейським середовищем та групою UAC-0125. Використані техніки корелюють із MITRE ATT&CK: T1566.001 (фішингові вкладення), T1204 (User Execution), T1059.001 (PowerShell), T1053.005 (Scheduled Task), T1021.004 (Remote Services: SSH), T1090 (Proxy/Tunneling) і T1041 (екcфільтрація через C2). Поєднання Tor + obfs4 відповідає ширшій тенденції переходу шкідливих операторів на анонімні, важковиявні канали керування.
З практичної точки зору, ставка на легітимні інструменти (OpenSSH, curl) мінімізує сигнатурні індикатори, тоді як обхід аналітики середовищем через прості поведінкові евристики підвищує живучість кампанії. Подібні прийоми дедалі частіше зустрічаються в операціях проти держсектору, де вартість простою та репутаційні ризики надзвичайно високі.
Рекомендації: як виявити і зменшити ризики Tor/obfs4 та SSH-бекдорів
Поштова безпека: багаторівнева фільтрація вкладень (ZIP, LNK), ізоляція/песочниця документів, перевірка макросів і політик виконання скриптів.
Політики PowerShell і LNK: застосовуйте Constrained Language Mode та підписані сценарії; відстежуйте запуск LNK з аномальними аргументами й мережевими зверненнями.
Контроль автозапуску: регулярний аудит планувальника завдань; створення задач на кшталт githubdesktopMaintenance і невідомі виконувані файли в профілях користувачів — привід для розслідування.
Мережевий моніторинг: поведінкове виявлення Tor/obfs4, обмеження невикористовуваних протоколів, контроль вихідних з’єднань і тунелів; сегментація та MFA для RDP/SMB/SSH.
Інвентаризація ключів і служб: перевірка несанкціонованих SSH-сервісів і статичних ключів; харднінг хостів та облікових записів відповідно до CIS Controls/NIST SP 800-53 (SC-7, SI-4, CM-7).
Operation SkyCloak демонструє зрілий зсув у бік анонімних C2-каналів і використання легітимних інструментів для закріплення. Організаціям критичної інфраструктури варто оновити моделі загроз, посилити контроль запуску LNK/PowerShell, впровадити мережеве виявлення Tor/obfs4 та регулярно тренувати персонал проти фішингу. Поєднання технічних засобів захисту й навчання користувачів скоротить «вікно атаки» і підвищить стійкість до подібних операцій.
