В октябре 2025 года наша команда киберразведки департамента Threat Intelligence зафиксировала продолжающуюся фишинговую активность хакерской группировки, которую мы назвали NetMedved. Обоснование выбора данного наименования будет рассмотрено в заключительной части статьи. Атаки хакеров ориентированы на российские организации; в качестве конечной полезной нагрузки используется вредоносная версия легитимного инструмента удалённого администрирования NetSupport Manager (далее — NetSupportRAT). В этой статье расскажем о специфике кампании и связи с нашими предыдущими находками.
Первые фишинговые рассылки фиксировались нами в середине октября 2025 года. К этой дате относится использование ресурса cdn-reserved[.]com. Жертвам рассылаются архивы (Рисунок 1), содержащие набор документов-приманок (Рисунок 2), имитирующих документооборот российских компаний: карточки контрагента, приказы о назначении, свидетельства о постановке на учёт и другие формально оформленные файлы, визуально и по содержанию близкие к реальным материалам бухгалтерии, тендерных отделов и служб снабжения. Внутри таких архивов рядом с приманочными документами размещается замаскированный вредоносный LNK-файл, оформленный под очередной документ или сопроводительный файл.
Вредоносный LNK-файл на системе жертвы запускает PowerShell в скрытом режиме с командой из тела LNK.
В начале команды вставлена последовательность из наборов букв, визуально похожих на слова.
Подгружается сборка System.Windows.Forms для последующих проверок окружения.
-
Выполняются антианализ-проверки:
По процессам: поиск работающих инструментов отладки/мониторинга (Procmon/Procmon64, Process Hacker, x64dbg/x32dbg, Wireshark, Fiddler, IDA).
По аппаратным признакам: выход при количестве логических процессов < 2 или разрешении экрана ниже порогов (ширина < 800, высота < 600).
Отдельно следует отметить, что перенос развернутой антианализ-логики непосредственно в командную строку LNK-файла представляет собой характерную особенность.
В типичных фишинговых сценариях LNK ограничивается командой запуска PowerShell или другого интерпретатора без сложных проверок окружения.
При успешном прохождении антиотладочных проверок LNK-файл инициирует загрузку и выполнение PowerShell-сценария, который создаёт рабочий каталог в LocalAppData, скачивает с задействованного домена ZIP-архив, замаскированный под PDF-документ, и распаковывает его штатными средствами Windows. Далее из распакованного каталога запускается документ-приманка и параллельно исполняется NetSupportRAT, после чего в планировщике Windows создаётся задача с автозапуском этого модуля при входе пользователя в систему, что обеспечивает закрепление вредоносного ПО в системе.
Состав такого архива помимо NetSupportRAT и документа-приманки включает исполняемый набор необходимых библиотек для корректной работы ВПО и конфигурационный файл client32.ini, в котором жёстко заданы домены, используемые в качестве серверов управления и точек подключения клиента. Характерной деталью является то, что используемая в кампании сборка NetSupportRAT по метаданным датируется 2017 годом и не является новой разработкой: аналогичные бинарные экземпляры ранее уже фигурировали в ряде операций, а в 2023 году исследователи VMware отдельно описывали кампанию с применением той же сборки NetSupportRAT.
К концу октября и началу ноября 2025 года атаки расширилась за счёт использования домена metrics-strange[.]com и структурно повторяли общую схему:
Рассылка первичного архива с документами приманками и вредоносного LNK-файла.
Распаковка архива и последующий запуск LNK-файла жертвой.
Скачивание следующего стейджа в виде Powershell-скрипта с его последующим запуском.
Скачивание архива, замаскированного под pdf-файл, его последующая распаковка, запуск NetSupportRAT, документа-приманки и закрепление через планировщик задач.
Установление соединения с С2 NetSupportRAT.
Одновременно с этим в первых числах ноября операторы ВПО модифицировали цепочку отказавшись от PowerShell-скрипта. Первичная нагрузка оставалась прежней – архив с документами-приманками и вредоносным LNK-файлом.
Теперь же LNK-файл работает иначе и демонстрирует ещё один характерный приём этой кампании. В LNK также присутствует длинная последовательность символов, однако вместо скачивания PowerShell-скрипта запускается командная строка Windows, в которой выполняется запрос finger к узлу api.metrics-strange[.]com. Ключевой приём заключается в том, что вывод этого запроса целиком перенаправляется в cmd для немедленного исполнения, в результате чего код второй стадии доставляется не из локального файла и не из явно загружаемого скрипта, а динамически подгружается с удалённого сервера через протокол finger и воспринимается оболочкой как обычный пакет команд.
Изначально finger предназначен для запроса базовой информации о пользователях на удалённых Unix-системах (логин, каталог, статус, поле Plan) и сейчас практически не используется в легитимной инфраструктуре. На большинстве корпоративных сетей он либо не задействован, либо включён по умолчанию. Атаки с применением finger встречаются значительно реже по сравнению с классическими каналами доставки через HTTP(S), PowerShell, Office-макросы или архивы, и чаще носят экспериментальный или единичный характер.
Вывод команды finger:
Внутри кода реализуется проверка на наличие процессов, связанных с отладкой и анализом, а также фильтрация по числу процессоров, что позволяет отсечь часть исследовательских и виртуальных сред. При успешном прохождении этих проверок создаётся случайный путь в LocalAppData, с помощью where находится легитимная утилита curl, её копия сохраняется под случайным именем и используется для загрузки zip-архива с домена metrics-strange[.]com, замаскированного под PDF. Затем создаётся каталог, содержимое архива распаковывается встроенной утилитой tar, пользователю открывается документ-приманка, а параллельно через rundll32 запускается NetSupportRAT. В завершение при помощи PowerShell создаётся задача планировщика с автозапуском Fosters при входе пользователя в систему, что обеспечивает закрепление.
Дополнительного внимания заслуживает формат комментариев в теле возвращаемого через finger сценария. Строки, начинающиеся с :: и содержащие последовательности вида ╨M-^_╤M-^@..., представляют собой характерный артефакт повреждённой кириллической кодировки. При восстановлении текста получаем следующий код:
Исходный текст |
Декодированный текст |
╨M-^_╤M-^@╨╛╨▓╨╡╤M-^@╤M-^O╨╡╨╝ ╨╖╨░╨┐╤M-^@╨╡╤M-^I╤M-^Q╨╜╨╜╤M-^K╨╡ ╨┐╤M-^@╨╛╤M-^F╨╡╤M-^A╤M-^A╤M-^K |
Проверяем запрещённые процессы |
╨M-^_╤M-^@╨╛╨▓╨╡╤M-^@╤M-^O╨╡╨╝ ╨║╨╛╨╗╨╕╤M-^G╨╡╤M-^A╤M-^B╨▓╨╛ ╨╗╨╛╨│╨╕╤M-^G╨╡╤M-^A╨║╨╕╤M-^E ╨┐╤M-^@╨╛╤M-^F╨╡╤M-^A╤M-^A╨╛╤M-^@╨╛╨▓ |
Проверяем количество логических процессоров |
╨M-^R╤M-^A╨╡ ╨┐╤M-^@╨╛╨▓╨╡╤M-^@╨║╨╕ ╨┐╤M-^@╨╛╨╣╨┤╨╡╨╜╤M-^K тM-^@M-^T ╨╖╨░╨┐╤M-^C╤M-^A╨║╨░╨╡╨╝ |
Все проверки пройдены — запускаем |
Для восстановления исходного текста можно использовать следующий подход: последовательности вида M-^X трактуются как управляющие символы с установленным старшим битом, преобразуемые в соответствующие байты (0x80 + код символа), все остальные символы интерпретируются как байты в кодировке cp866, после чего полученный байтовый набор декодируется как UTF-8. Такой алгоритм позволяет вернуть исходные кириллические комментарии, исказившиеся при некорректной обработке кодировок.
На уровне инфраструктуры прослеживается разделение ролей: отдельные домены используются для доставки вредоносного содержимого и псевдо-PDF-архивов, а набор других доменов задействуется в качестве C2 для NetSupportRAT через конфигурационный файл client32.ini.
Анализ client32.ini, входящих в состав всех обнаруженных архивов и каталогов с NetSupportRAT, позволяет выделить набор доменов, задействованных в качестве серверов управления.
Таблица 1. Командные сервера управления NetSupportRAT
Домен |
ip |
asn |
провайдер |
Описание |
Дата регистрации |
tvfilia.com |
31.214.157.85 |
58329 |
servinga GmbH |
GatewayAddress |
11.05.2025 |
bspaco.com |
- |
- |
- |
SecondaryGateway |
12.05.2025 |
skillswar.com |
185.158.249.54 |
58329 |
servinga GmbH |
GatewayAddress |
11.05.2025 |
pauldv.com |
- |
- |
- |
SecondaryGateway |
12.05.2025 |
abxweb.com |
185.158.249.64 |
58329 |
servinga GmbH |
GatewayAddress |
03.11.2024 |
pdfbypari.com |
80.66.76.115 |
213010 |
Nethost-net |
SecondaryGateway |
03.11.2024 |
nbmovies.net |
65.109.65.153 |
24940 |
Hetzner Online GmbH |
SecondaryGateway |
19.11.2024 |
nicevn.net |
31.214.157.214 |
58329 |
servinga GmbH |
GatewayAddress |
19.11.2024 |
Для размещения архивов с полезной нагрузкой и Powershell-скриптов, а также fingerd-сервиса использовались следующие сервера.
Таблица 2. Сервера распространения Powershell-скриптов и архивов с NetSupportRAT
Домен |
ip |
asn |
провайдер |
Дата регистрации |
cdn-reserved.com |
104.21.67.63 |
13335 |
CloudFlare |
10.10.2025 |
metrics-strange.com |
104.21.40.161 |
13335 |
CloudFlare |
29.10.2025 |
api.metrics-strange.com |
144.124.234.163 |
216071 |
Servers Tech Fzco |
29.10.2025 |
x-projectlys.com |
104.21.85.42 |
13335 |
CloudFlare |
10.11.2025 |
sara.x-projectlys.com |
144.124.233.138 |
216071 |
Servers Tech Fzco |
10.11.2025 |
Во всех случаях используется одна и та же сборка Fosters.exe (NetSupportRAT), меняются только параметры подключения. Наборы доменов организованы парами в целях резервирования каналов связи.
При ретроспективном анализе связей между файлами конфигурации NetSupport RAT и архивами, в составе которых они распространялись, нами была выявлена фишинговая активность, датируемая серединой августа — началом сентября текущего года и атрибутируемая данной хакерской группировке. В рамках этой кампании вредоносное ПО распространялось с домена real-fishburger[.]com.
Помимо вышеупомянутой цепочки с LNK-файлом и PowerShell-скриптом (рис. 7), операторы ВПО также распространяли вредоносные HTA-файлы. При их запуске реализовывалась следующая логика:
Декодирование и отображение приманки.
Из тела HTA-файла декодировался встроенный в Base64 PDF-документ, который сохранялся во временную директорию и открывался штатной программой для просмотра PDF-файлов. Документ использовался в качестве отвлекающей приманки для создания видимости легитимной активности.
Развёртывание NetSupport RAT.
Параллельно из того же HTA-файла декодировалось встроенное в Base64 вредоносное ПО NetSupport RAT, после чего его компоненты сохранялись на диск под именем uclient.exe.
Закрепление в системе.
Для обеспечения устойчивости в системе создавался ярлык uclient.lnk в папке автозагрузки пользователя (Startup), указывающий на uclient.exe. Это гарантировало автоматический запуск NetSupport RAT при каждом входе пользователя в систему.
Сопоставление этой кампании с ранее зафиксированными атаками с применением Lumma Stealer и NetSupportRAT выявляет инфраструктурное пересечение. В начале декабря 2024 года мы описали вредоносную кампанию, в рамках которой использовался GitHub-репозиторий NonaDoc/Nonadoc для распространения документов-приманок и вредоносного ПО, включая Lumma Stealer и NetSupport RAT. В тех эпизодах источниками заражения выступали LNK-файлы, маскирующиеся под документы российских организаций, а домены abxweb[.]com и pdfbypari[.]com использовались злоумышленниками в качестве серверов доставки и управления NetSupportRAT.
В текущей кампании 2025 года домены abxweb[.]com и pdfbypari[.]com вновь появляются, но теперь уже явно зашиваются в конфигурационные ini-файлы для NetSupportRAT, распространяемого через новую cетевую инфраструктуру. Переход от GitHub-репозитория к собственным доменам доставки и отказ от использования Lumma Stealer не выглядит сменой акторов, а скорее эволюцией тактики после публичного освещения предыдущих эпизодов.
Учитывая использование одних и тех же доменов в обеих кампаниях, повторное применение NetSupportRAT в роли основного инструмента удалённого доступа, схожие приёмы социальной инженерии с LNK-файлами и архивами с документами-приманками, а также лингвистические паттерны, такие как учётная запись GitHub под именем prevedmedved6724993, отсылающая к русскоязычному мему, и кириллические комментарии в коде, возвращаемом по протоколу finger, можно предположить, что наблюдаемая кампания 2025 года и зафиксированная активность 2024 года относятся к одной и той же хакерской группировке, последовательно развивающей и переиспользующей собственную инфраструктуру и TTP. На основе указанных выше пересечений этот кластер обозначен нами как TA NetMedved: компонент Net отражает использование NetSupportRAT, а Medved — отсылку к учётной записи prevedmedved6724993 как характерному лингвистическому маркеру инфраструктуры злоумышленников.
Индикаторы компрометации
Сетевые индикаторы
Домен |
ip |
asn |
провайдер |
Описание |
Дата регистрации |
tvfilia.com |
31.214.157.85 |
58329 |
servinga GmbH |
GatewayAddress |
11.05.2025 |
bspaco.com |
- |
- |
- |
SecondaryGateway |
12.05.2025 |
skillswar.com |
185.158.249.54 |
58329 |
servinga GmbH |
GatewayAddress |
11.05.2025 |
pauldv.com |
- |
- |
- |
SecondaryGateway |
12.05.2025 |
abxweb.com |
185.158.249.64 |
58329 |
servinga GmbH |
GatewayAddress |
03.11.2024 |
pdfbypari.com |
80.66.76.115 |
213010 |
Nethost-net |
SecondaryGateway |
03.11.2024 |
nbmovies.net |
65.109.65.153 |
24940 |
Hetzner Online GmbH |
SecondaryGateway |
19.11.2024 |
nicevn.net |
31.214.157.214 |
58329 |
servinga GmbH |
GatewayAddress |
19.11.2024 |
cdn-reserved.com |
104.21.67.63 |
13335 |
CloudFlare |
|
10.10.2025 |
metrics-strange.com |
104.21.40.161 |
13335 |
CloudFlare |
|
29.10.2025 |
api.metrics-strange.com |
144.124.234.163 |
216071 |
VDSINA SERVERS TECH FZCO |
|
- |
x-projectlys.com |
104.21.85.42 |
13335 |
CloudFlare |
|
10.11.2025 |
sara.x-projectlys.com |
144.124.233.138 |
216071 |
Servers Tech Fzco |
|
10.11.2025 |
real-fishburger.com |
172.67.223.25 |
13335 |
CloudFlare |
|
17.09.2025 |
Файловые индикаторы
Название файла |
MD5 |
SHA1 |
SHA256 |
ZIP архивы | |||
zip-архив без названия |
8136af34863b2eba580aa022bf0ca912 |
b19532b2b8d684d3adb7204046a60ab58b64b993 |
3983a383b532c32dfbab8958ad1b35fc8cb3fc3141b5016dd01fcfbfd3c0cd3b |
Fils.pdf (zip) |
f2547fd021e9af337f22537cfffa8b12 |
2d07e5f0c97a5150f80130e3d05deb3dd2440c2e |
05464b16c6ea40cd93d39b7c0a20c136be2b7921818aa5041b7b98a7cbbf270f |
Divtos.pdf (zip) |
01264394800dd0ded80b873d339aaebf |
d2f5d23bd424fd552b96432f097c94a8388b94ea |
b302c16d60f055ec37833e45b091f20b6eae3248be74f389094e69d20f496a7b |
Divtos.pdf (zip) |
b43fc607fabdee781ca6877a04a97f2d |
586edeac5a77f604016b6921369c8816bed3659e |
2fdabce92c1915556f2e4d5cfdf34f18147d1e09c454c3758a4dcf31431e1e62 |
Noretyu.pdf (zip) |
b45f2ae24457d9a3cc44f4c6c183211c |
4ca145a304aa5b2706da90e4d2ed493e986e28d3 |
7573e2a6a6a4a5c21bc3f81a53262e3ade3871fd00ab06b9cf9f9a28c45926f2 |
Horitos.pdf (zip) |
a3f88b1b992f9c4a56e07fd59dd394af |
1c7bf6e246b211e42f22d6d9e74d3f33dc83d835 |
4fed61b2f93f4ef51777ac2f381a89e564c8ddf941ecef9f3f7f1e9c370ff0a3 |
Pyost.pdf (zip) |
8d4ac3cb056d331ca382d1b1b6dae3a4 |
5363f611e91e2a1433cb9502365ae47708adec29 |
007ec4eadad16fed2361486bbd79ce8491db3aeae615fef9069e274609233e2f |
zip-архив без названия |
20ddd51ca6febc3ddf10a93230aa569f |
6c51276cc02b6e10f0c18f2459f121e44f8cea3f |
cc6219c710d5bd0ee986b479723ab4f42027da0f28a49fad66d9f3280774e654 |
Hloe2.pdf(zip) |
410879d8562a64d5cd7034bbff462655 |
9bfcad0f12ee36fa7a15de5e52b5fe416c7f9db6 |
d3aea6e94151bcbb8ac451c50a3a6a5693162521b7d61c53e57c91e4c91c1eb4 |
zip-архив без названия |
e1649ded8b6f6b591ec903387a9de93e |
a3f420516b31e3ab5a49ebcc7026f6f47fcaa44e |
0c61883da958fb23e03eac577b169d5e7535910b5a12916fe6d2a94f6b40a89e |
zip-архив без названия |
31c60c6eca6b9d7349a85ceb0cba3d8b |
a34a796d8d342f2d54d5db601522dbe4b96a81ec |
0c166f4c7475ec6d15ac00b9b7bc9cf0d7bb53eb504e14f153af08dfe05c40e2 |
PS1 файлы | |||
c626b76039054fe7899.ps1 |
d0f7cdde46cd23cb01d70c88b92e7080 |
111c9272b9d0ca9836fcef79fc7a502117764308 |
7ffc177f931c6df8542cc87c9da95d3f3a51b587c237253b6091e83451d7c3a2 |
44bff594214446.ps1 |
81e4ee273f7d4eaaba6ec1c31088d59f |
3aff248f75a54b6e8f14b07c35cc4e5d19b43fb3 |
aa666ff1e5276677b9995f86399743aaad38a6b70b53a124062aa69c798760b6 |
Foto.pic |
7dbb2d7f7fb06c12739b719d9653c57b |
4c70f17b2e9a7e223b30b5c00d5512a157738b7d |
51012e5e9ee205efe5025e0a83cce90dca5719268229c91b6777060c1b4578d0 |
LNK файлы | |||
Запрос на закупку от ООО «ДС-ГРУПП» на ноябрь 2025_658750.lnk |
63a769becb77120637e242b5a3e41649 |
4de3b3a50ee9169f8826f98167c0c3697538bfa8 |
dddfc3c5ca754144b430df11a78a048609106f9d12db4b1fec309bb9805743ec |
Запрос на закупку от ООО «ДС-ГРУПП» на ноябрь 2025_566291.lnk |
25f5b04a7cb54ae588235cf7cf3a89f4 |
d3b726039aead4cac409a9e4257027036469f8e3 |
5b83e99dfeeb8c30dc72059d369bff0109c40cb5d9aea63245d90a1ca4a36232 |
1.exe.lnk |
0b314bd55b9a3e318e3c207e597f3e5f |
e148be1c9148c0542475237b78d40face8252ee2 |
340f085668d115b4f0ae586b26ecc3cc5a977449989221e02a13b09decbf9bb9 |
Запрос на закупку от ООО МСК МОНОЛИТ-ЮГРА на ноябрь 2025_448157.lnk |
002bca1bb5ccc22049aa918aafc174a7 |
c157e587545ba74980026bd082301e23cc2c002f |
a55733d4055fe83817b865638b71690fe8f32de77eec04498171fd7e1cb3eb67 |
без названия |
ba454a50b727cd724066ce2cfd575b9d |
5a401eefb9c3234841f2f9060745ebac61eade33 |
44e29f1e03d3ff663058338363f144326b1e83a63a43caea86e313c3b8bf98a6 |
DOC/DOCX документы | |||
КАРТОЧКА ДС-ГРУПП ТОЧКА.docx |
192c0538c375d9c5064a39f07e5b3744 |
a09a56aa6285884082a3eaca89a93ca438f19468 |
25a7dc3f0f16a6f1e69db6e80143f2a8788c5542246966c081a06bf9767264fe |
Карточка ООО МСК МОНОЛИТ-ЮГРА.doc |
7cec93c66b8fce48eb393c176936d146 |
251a012f8489db93e280c46c59bd341b76b58136 |
8de51b085e9ae644099bebe8e95ec1d5dbe2b854b4d20d8f33c9160458f6c413 |
PDF файлы | |||
Приказ о назначении.pdf |
807cf9936885bbc4ee06e4ece0392cd1 |
bd1de96110ee8770df1ebfd4420ddb8ed5869e33 |
4546d8fa49836ae06af4df56fca03905afd4d7df60d171cc2c959be03d1d94b2 |
Св-во о постановке на учет.pdf |
3ffdae649a03c010e8d2297311634ac3 |
681ae1f5dcbafd30167b8b158b0c937a2a3f6023 |
bf0df57d9dac2aafd89f30d818749d3ce15afe488dcdad912e8996bfd3d0b3c1 |
Docs.pdf\Backs.pdf |
8ca3640f4dedf5caa352efb72a19914a |
d1d41e0701fa58d3c4113634260f93f7e7c46836 |
98a693f412da7b5e5fa790ab54e1c4737ce628ddaedda6cb2359214ec17c11a8 |
Zapros.pdf |
fc53d4925a9e5f0a2d84bb7185da1874 |
890766ecce25a487864f71a71c519a9c4fc68dbb |
a4cf4c55312222dfa5c9e08034377a2efaae3b94213c1283c3e2145d2677c3d3 |
2_FLYGT.pdf |
f9b64f0da33c475658ea206a484d236f |
277a95d0095bb39ab7ea4d8c9b3077010d2ee511 |
59f3acf7a2099899807685c631d8a64af0e784a046a48f45ba2cc40d2e785444 |
DOC Document.pdf |
1b8fef7767370b985214470cf4e56a24 |
fec85d048c284db87859ade0d68734683fe1352b |
b69c5134a453d19ddf94967c49dd9ecb825ae2461d491f67d09fb5bda5dd27be |
Свидетельство ОГРН, ИНН, КПП.pdf |
7cb00849d03ffa13ab9e5b077e161608 |
1e842b5aa270657aedeced10e105432508997532 |
cb2c2f492fd44afa9279ee8d4a8a6e8ca11ab65a9224a18da9ba8b0d8f6bec14 |
Zayavka.pdf |
01a43d17f909792addcc004bdd513963 |
c30516b6a3894821d6a472f9ec18ae526857c260 |
2e851fcc4eb8e60f350ce68b686cc1ce3c4a0370c28a230a0f3468358907c075 |
INI конфиги | |||
client32.ini |
84677cb94f1772c22d9d82114a4a4038 |
e44b913a1694a61705344ce406f77301defd8ec5 |
1027cd7578146cafe39eacf1ed6d2048aa12fc6936d2594d49eb093c56b2d840 |
client32.ini |
435e3d7ab7f4939a00332f823a923c8f |
cc404afb2d49861bfacfa25b8aa07c68c69d4ff6 |
ea3d66b8e53cf2475ef89c94d917529360325f3464727a54a3be2aa2ffde0e2b |
client32.ini |
219a47f8a1820d131fa90f0e15230197 |
72a65f4684fd413858b8791a697fad6051fb6ec2 |
a68b10d3a36423d44d36274dc995a5f11bfb1dd5bba6de81071e9ced8dc780f3 |
client32.ini |
8944560ed965974f843fc984e417457e |
8a27e37499c26e1e465375ecd1bfb3f0ae9bf8db |
76d3a58f3fb14e1d8435eabaac21c84f9d256bcd241da3da44b70c4a606134fd |
HTA-файлы | |||
Заявка на закупку от компании ООО Антарктида на август 2025_16.hta |
7c747a3bae1b6093273fb59be92947c8 |
8fb720d4eabe22820b2affd76a56495feb297422 |
e34552a5338872919b3e0f15efc9c27641479750ca2a43ac7cc5c9b15f15ad20 |
Заявка на закупку от компании ООО ЮМет на август 2025_11.hta |
8c021c5d85f635286c0c4878ae3dfacc |
f1d4d04186a3262d455c40e2d8377d6646a03dee |
23eb791345d1a125c2c5988fb7a8001824a328a248f0c7588973b045b50bea69 |
hta-файл без названия |
aefa1b33765e08e264b5d2d15f3f260e |
7cc19bef3359350561896c08a021757f7df3d6f1 |
0f430f2772119b62d32b7812b44726f7d1f3ffc9f9f9ca86b7a0a0c8b314215d |
Матрица Mitre
ID |
Название |
Описание |
Resource Development | ||
T1583.001 |
Acquire Infrastructure: Domains |
NetMedved регистрировали и использовали домены metrics-strange[.]com, cdn-reserved[.]com, abxweb[.]com, pdfbypari[.]com, skillswar[.]com, pauldv[.]com, tvfilia[.]com, bspaco[.]com, nbmovies[.]net, nicevn[.]net для доставки стадий и C2. |
T1583.003 |
Acquire Infrastructure: Virtual Private Server |
NetMedved арендовали и конфигурировали VPS для размещения fingerd-сервиса, хостинга псевдо-PDF-архивов и обслуживания C2. |
T1608.001 |
Stage Capabilities: Upload Malware |
NetMedved размещали на собственной инфраструктуре ZIP-архивы под видом PDF, скрипты и исполняемые файлы. |
T1588.001 |
Obtain Capabilities: Malware |
NetMedved использовали NetSupport RAT в своих атаках. |
Initial Access | ||
T1566.001 |
Phishing: Spearphishing Attachment |
NetMedved рассылали ZIP-архивы с документами-приманками и LNK-файлами, оформленных под деловую переписку российских компаний. |
T1204.002 |
User Execution: Malicious File |
Ручной запускали жертвой LNK-файлов, замаскированных под документы, инициирует выполнение вредоносной цепочки. |
Execution | ||
T1059.001 |
Command and Scripting Interpreter: PowerShell |
NetMedved использовали скрытый запуск PowerShell из LNK с обходом ExecutionPolicy для загрузки и исполнения скриптов второй стадии. |
T1059.003 |
Command and Scripting Interpreter: Windows Command Shell |
NetMedved использовали cmd.exe совместно с конструкцией finger ... | cmd для немедленного исполнения кода с удалённого сервера. |
T1202 |
Indirect Command Execution |
NetMedved доставляли batch-кода через вывод finger и его немедленное выполнение через командную оболочку. |
T1219 |
Remote Access Tools |
NetMedved использовали NetSupportRAT |
|
Persistence
| ||
T1053.005 |
Scheduled Task/Job: Scheduled Task |
NetMedved создавали задачи планировщика Windows с автозапуском Fosters.exe (NetSupportRAT) при входе пользователя. |
Defense Evasion | ||
T1036 |
Masquerading |
NetMedved маскировали LNK-файлы под документы, ZIP-архивы под PDF. |
T1497.001 |
Virtualization/Sandbox Evasion: System Checks |
NetMedved осуществляли проверку процессов анализа, числа логических процессоров и разрешения экрана для выявления песочниц. |
T1218 |
Signed Binary Proxy Execution |
NetMedved использовали доверенные системные утилиты (rundll32) для вредоносной активности. |
T1105 |
Ingress Tool Transfer |
NetMedved загружали псевдо-PDF-архивы и скрипты с контролируемых доменов вместо прямой доставки payload во вложениях. |
T1140 |
Deobfuscate/Decode Files or Information |
NetMedved распаковывали и извлекли полезную нагрузку из замаскированных архивов скриптами второй стадии. |
|
Command and Control
| ||
T1071.001 |
Application Layer Protocol: Web Protocols |
NetMedved использовали HTTP/HTTPS для загрузки стадий и взаимодействия с C2. |
T1571 |
Non-Standard Port |
NetMedved использовали протокол finger на порту 79/tcp как нетипичного канала доставки вредоносного кода. |
Денис Казаков
Специалист группы киберразведки TI-департамента экспертного центра безопасности, Positive Technologies