Внутри схемы TA4557: от фальшивой страницы до уникального бэкдора Venom Spider

Киберпреступная группа Venom Spider, также известная как TA4557, изменила вектор атак и нацелилась на отделы кадров в компаниях. Новый подход использует тщательно подготовленные фишинговые письма, маскирующиеся под отклики соискателей. С их помощью злоумышленники пытаются заразить корпоративные системы вредоносным ПО More_eggs, что представляет собой серьёзную угрозу для бизнеса в разных отраслях.

По данным Arctic Wolf, злоумышленники используют популярные платформы для поиска работы и мессенджеры, рассылая фальшивые резюме с вредоносными вложениями. Как только получатель переходит по ссылке, его направляют на поддельную страницу для скачивания файла, где необходимо пройти CAPTCHA, чтобы обойти автоматические системы проверки. Затем загружается архив с изображением-приманкой и файлом с LNK-расширением (ярлыком Windows), замаскированным под резюме.

Внутри этого файла скрыт скрипт, запускающий встроенные системные утилиты Windows, такие как «ie4uinit.exe». Такой подход позволяет выполнить вредоносный код без привлечения внимания антивирусов . Для маскировки дополнительно открывается приложение WordPad, создавая иллюзию того, что пользователь открыл обычное резюме. На следующем этапе выполняется загрузка и запуск JavaScript-кода, размещённого на внешних ресурсах. Скрипт активирует дроппер, который регистрируется в системе с помощью утилиты regsvr32.

В процессе создаются дополнительные файлы в директории AppData и применяется отложенное выполнение кода, чтобы запутать песочницы и инструменты анализа. Финальный этап включает установку основного компонента — бэкдора, который использует шифрование с уникальными ключами на базе имени компьютера и ID процессора, обеспечивая привязку вредоносного кода к конкретному устройству. После активации начинается постоянное взаимодействие с управляющими серверами, через которые атакующие могут выполнять команды, загружать новые модули и выкачивать данные.

Особенность этой кампании — её направленность на HR-специалистов, которые по долгу службы регулярно открывают вложения от незнакомых отправителей. Таким образом, Venom Spider эксплуатирует универсальную точку входа, характерную для любого бизнеса, вне зависимости от сферы деятельности. Ранее группа концентрировалась на онлайн-торговле и фармацевтическом секторе в США, но теперь атаки приобрели более широкий охват.

Авторы отчёта подчёркивают, что эффективной мерой защиты может стать повышение осведомлённости сотрудников о признаках фишинга, использование защищённых почтовых шлюзов и решений для анализа поведения на конечных устройствах. Также рекомендуется проверка свойств файлов перед открытием и блокировка известных управляющих доменов, участвующих в цепочке заражения.

Сложность выявления таких атак связана с использованием облачных платформ, таких как Amazon и GoDaddy, для размещения компонентов инфраструктуры, а также с применением многоуровневой маскировки и шифрования. Учитывая высокий уровень автоматизации атак и точную нацеленность, подобные инциденты могут долго оставаться незамеченными и нанести серьёзный ущерб корпоративным данным и репутации.