Безобидный архив с «сюрпризом». Группа APT-C-53 обновила тактику атак на иностранные ведомства
NewsMakerОдно неосторожное движение мышкой превращает рабочий ноутбук в инструмент круглосуточной слежки.
APT-C-53 вновь активизировал рассылку вредоносных вложений, нацеленных на структуры в Украине. Свежая серия атак показывает, что группа продолжает развивать инструменты скрытого проникновения и обновляет технику начального доступа, сочетая её с давно используемой многоуровневой схемой выполнения сценариев.
По данным 360 Threat Intelligence Center, злоумышленники применяют уязвимость CVE-2025-8088 в архиваторе WinRAR, позволяющую записывать скрытые данные в произвольные каталоги системы. Жертве приходит письмо с вложенным архивом, который внешне содержит лишь безобидный файл. При попытке извлечь его запускается механизм обхода каталогов, после чего в папке автозагрузки Windows незаметно появляется вредоносный HTA-файл. Он активируется при следующем входе в систему и получает возможность закрепиться.
Созданный группировкой загрузчик на HTA основе запускает компактный VBScript. Его задача — вызвать mshta.exe и загрузить с удалённого узла следующую часть вредоносного кода, замаскированную под PDF. После обработки сценарий раскрывает многоуровневую структуру VBS, в которой содержатся декодируемые при запуске фрагменты. Они включают алгоритмы связи с управляющими серверами, инструменты сбора данных и компоненты для развёртывания дополнительных скрытых механизмов.
После выполнения основной части сценарий обеспечивает повторный запуск через несколько каналов. Помимо размещения в автозагрузке, создаются копии файлов в пользовательских каталогах и добавляется поддельное задание планировщика, использующее название, похожее на системное. Это создаёт вторую линию закрепления и помогает пережить перезагрузку или вмешательство администратора. Настроенные точки связи включают основной и резервные адреса, чтобы сохранить работоспособность инфраструктуры управления.
Последовательность действий, выбор инструментов и характер многоуровневых VBS-скриптов совпадают с типичными операциями APT-C-53, которые на протяжении многих лет проводят кампании по скрытому сбору данных у украинских структур. Комбинация новой уязвимости и хорошо отработанного сценария выполнения позволяет им поддерживать устойчивость атак и усложнять выявление.
Специалисты рекомендуют усилить фильтрацию вложений на почтовых шлюзах, уделяя внимание архивам с нетипичным содержимым. Дополнительно подчёркивается необходимость расширенного мониторинга системных журналов, особенно действий в автозагрузке, создании задач планировщика и запуску сценариев. Повышение защищённости рабочих станций, регулярное обновление защитных решений и проверка подозрительных файлов снижают вероятность потери данных из-за подобных инцидентов.
APT-C-53 вновь активизировал рассылку вредоносных вложений, нацеленных на структуры в Украине. Свежая серия атак показывает, что группа продолжает развивать инструменты скрытого проникновения и обновляет технику начального доступа, сочетая её с давно используемой многоуровневой схемой выполнения сценариев.
По данным 360 Threat Intelligence Center, злоумышленники применяют уязвимость CVE-2025-8088 в архиваторе WinRAR, позволяющую записывать скрытые данные в произвольные каталоги системы. Жертве приходит письмо с вложенным архивом, который внешне содержит лишь безобидный файл. При попытке извлечь его запускается механизм обхода каталогов, после чего в папке автозагрузки Windows незаметно появляется вредоносный HTA-файл. Он активируется при следующем входе в систему и получает возможность закрепиться.
Созданный группировкой загрузчик на HTA основе запускает компактный VBScript. Его задача — вызвать mshta.exe и загрузить с удалённого узла следующую часть вредоносного кода, замаскированную под PDF. После обработки сценарий раскрывает многоуровневую структуру VBS, в которой содержатся декодируемые при запуске фрагменты. Они включают алгоритмы связи с управляющими серверами, инструменты сбора данных и компоненты для развёртывания дополнительных скрытых механизмов.
После выполнения основной части сценарий обеспечивает повторный запуск через несколько каналов. Помимо размещения в автозагрузке, создаются копии файлов в пользовательских каталогах и добавляется поддельное задание планировщика, использующее название, похожее на системное. Это создаёт вторую линию закрепления и помогает пережить перезагрузку или вмешательство администратора. Настроенные точки связи включают основной и резервные адреса, чтобы сохранить работоспособность инфраструктуры управления.
Последовательность действий, выбор инструментов и характер многоуровневых VBS-скриптов совпадают с типичными операциями APT-C-53, которые на протяжении многих лет проводят кампании по скрытому сбору данных у украинских структур. Комбинация новой уязвимости и хорошо отработанного сценария выполнения позволяет им поддерживать устойчивость атак и усложнять выявление.
Специалисты рекомендуют усилить фильтрацию вложений на почтовых шлюзах, уделяя внимание архивам с нетипичным содержимым. Дополнительно подчёркивается необходимость расширенного мониторинга системных журналов, особенно действий в автозагрузке, создании задач планировщика и запуску сценариев. Повышение защищённости рабочих станций, регулярное обновление защитных решений и проверка подозрительных файлов снижают вероятность потери данных из-за подобных инцидентов.