NetMedved и летняя кампания против российских организаций
ptsecurity 7 минут назад NetMedved и летняя кампания против российских организаций 10 мин 264 Блог компании Positive Technologies Информационная безопасность * IT-инфраструктура * Антивирусная защита * Кейс Группа...
Anthropic — What company has the best second artificial intelligence model at the end of June?
Вот важная новость с фронта ИИ: ptsecurity 7 минут назад NetMedved и летняя кампания против российских организаций 10 мин 264 Блог компании Positive Technologies Информационная безопасность * IT-инфраструктура * Антивирусная защита * Кейс Группа киберразведки Positive Technologies зафиксировала новую фишинговую кампанию хакерской группировки NetMedved, нацеленную на российские организации. Как и в описанных нами ранее атаках, операторы используют деловую тематику, документы-приманки и легитимный инструмент удаленного администрирования NetSupport Manager, развернутый в системе жертвы. В предыдущих кампаниях NetMedved уже применялись архивы с документами-приманками, вредоносные LNK-файлы, PowerShell-загрузчики, сценарии с использованием finger, а также HTA-варианты с декодированием приманки и NetSupportRAT из тела файла.
В новой кампании операторы сохранили основную модель атаки, но расширили набор начальных стадий и инфраструктурных приемов. В рамках исследования были выявлены два основных направления развития кампании:LNK-файлы запускают PowerShell-цепочку через сервис-redirector, получают AES-зашифрованный PowerShell-stage и разворачивают NetSupport Client из ZIP-архива;ZIP/JScript-вариант, в котором полезная нагрузка встроена непосредственно в . js-файл и декодируется локально через Windows Script Host.
Технические детали
LNK- и PowerShell-сценарийЦепочка атаки с использованием LNK-файла выглядит следующим образом:Схема заражения через ZIP-архив с LNK-файломСодержимое архиваВ исследованных образцах LNK-файлы маскируются под заявки на закупку от имени российских компаний. Названия документов и файлов выдержаны в деловом стиле и рассчитаны на сотрудников, работающих с закупками, договорами и документооборотом. Для LNK-вариантов был зафиксирован следующий паттерн имен файлов: «Заявка на закупку от компании на июнь 2026г.
Пример вредоносного LNK-файлаИсследованные LNK содержат Base64-команду, закодированную в UTF-16LE. После декодирования она принимает следующий вид:Пример декодированной PowerShell-командыPowerShell в данной цепочке выполняет роль загрузчика: он обращается к удаленному ресурсу, получает следующий этап полезной нагрузки и запускает его в памяти. Для затруднения обнаружения в образцах используются несколько типовых обфускаций:Командлет Invoke-Expression, отвечающий за выполнение полученного кода, не указывается напрямую, а разрешается динамически через Get-Command с wildcard-маской – шаблоном поиска с подстановочными символами, где означает любую последовательность символов.
Например, конструкция (gcm vo*p*s*n) позволяет найти Invoke-Expression без его явного указания в коде. Для получения следующего этапа полезной нагрузки используется COM-объект MSXML2. ServerXMLHTTP, а не более типичные для PowerShell механизмы вроде Invoke-WebRequest, DownloadString или Net.
За счет этого в коде отсутствуют распространенные сигнатурные строки, часто используемые при статическом анализе вредоносных PowerShell-скриптов.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.
