Притворился PDF-файлом и ворует пароли. Как «Конфуций» учит пакистанцев цифровой гигиене
NewsMakerКлассические приёмы обмана обрели второе дыхание в руках профессионалов.
Группировка Confucius продолжает кибершпионские операции против стран Южной Азии. Новая кампания нацелена на организации в Пакистане. Анализ показал применение ранее не встречавшегося в арсенале группы инструмента — бэкдора AnonDoor на базе Python. Операция сочетает многоступенчатую загрузку вредоносных компонентов и использование легитимных программ для скрытого выполнения кода.
Атака начинается с рассылки архива ZIP. Внутри находятся два файла, замаскированные под документы PDF. Один из файлов представляет собой ярлык LNK с названием GSR_Requirements.pdf, второй — скрытый проект MSBuild под именем Specification.pdf. При открытии ярлыка система запускает MSBuild.exe, который загружает скрытый XML-файл и запускает встроенный C-код. Скрипт связывается с удалённым сервером и загружает дополнительные компоненты.
Загруженный код создаёт задания планировщика Windows и размещает файлы в каталоге C:\Windows\Tasks. Среди них находится pythonw.exe — легитимный интерпретатор Python, используемый как прикрытие. В ту же папку загружается вредоносная библиотека python310.dll. При запуске интерпретатора система автоматически подгружает DLL, содержащую вредоносный код. Параллельно злоумышленники скачивают приманочный документ PDF, чтобы пользователь решил, что открыл обычный файл.
DLL выступает второй стадией атаки. После запуска компонент обращается к серверу nexnxky.info и скачивает крупный архив данных, содержащий тысячи файлов в кодировке Base64. Общий объём составляет более двух тысяч объектов. Такой подход усложняет анализ и помогает скрыть настоящий вредоносный модуль среди большого числа легитимных файлов.
Группировка Confucius продолжает кибершпионские операции против стран Южной Азии. Новая кампания нацелена на организации в Пакистане. Анализ показал применение ранее не встречавшегося в арсенале группы инструмента — бэкдора AnonDoor на базе Python. Операция сочетает многоступенчатую загрузку вредоносных компонентов и использование легитимных программ для скрытого выполнения кода.
Атака начинается с рассылки архива ZIP. Внутри находятся два файла, замаскированные под документы PDF. Один из файлов представляет собой ярлык LNK с названием GSR_Requirements.pdf, второй — скрытый проект MSBuild под именем Specification.pdf. При открытии ярлыка система запускает MSBuild.exe, который загружает скрытый XML-файл и запускает встроенный C-код. Скрипт связывается с удалённым сервером и загружает дополнительные компоненты.
Загруженный код создаёт задания планировщика Windows и размещает файлы в каталоге C:\Windows\Tasks. Среди них находится pythonw.exe — легитимный интерпретатор Python, используемый как прикрытие. В ту же папку загружается вредоносная библиотека python310.dll. При запуске интерпретатора система автоматически подгружает DLL, содержащую вредоносный код. Параллельно злоумышленники скачивают приманочный документ PDF, чтобы пользователь решил, что открыл обычный файл.
DLL выступает второй стадией атаки. После запуска компонент обращается к серверу nexnxky.info и скачивает крупный архив данных, содержащий тысячи файлов в кодировке Base64. Общий объём составляет более двух тысяч объектов. Такой подход усложняет анализ и помогает скрыть настоящий вредоносный модуль среди большого числа легитимных файлов.