Резюме с сюрпризом: хакеры из APT-C-60 массово «устраиваются на работу» в японские компании

APT-C-60 JPCERT SpyGlace Downloader GitHub фишинг Япония
Резюме с сюрпризом: хакеры из APT-C-60 массово «устраиваются на работу» в японские компании
APT-C-60 JPCERT SpyGlace Downloader GitHub фишинг Япония

От первого клика до полной компрометации системы проходят считанные минуты.

image

Группа APT-C-60, ранее уже замеченная в целевых атаках на японские организации, продолжает использовать те же подходы, сочетая проверенные приёмы с обновлёнными техническими деталями. В последние месяцы специалисты JPCERT зафиксировали новую волну атак, ориентированных на сотрудников, занимающихся подбором персонала. Вновь задействована схема с фальшивыми резюме, но теперь вредоносные вложения доставляются напрямую через письма, минуя сторонние хранилища.

Рассылка фишинговых сообщений осуществляется якобы от имени соискателей. В теле письма содержится вложенный файл формата VHDX, в котором спрятан LNK-ярлык. При его запуске активируется сценарий, использующий легитимный исполняемый файл gcmd.exe из комплекта Git. Этот скрипт выводит подставной документ, параллельно создавая и запускающий дополнительный компонент WebClassUser.dat — загрузчик первой ступени, сохраняемый в реестре и выполняемый через перехват COM-классов.

Обновлённый Downloader1 связывается с сайтом statcounter и передаёт данные о заражённой машине, включая серийный номер тома и имя компьютера. Эта же связка используется в качестве имени файла, загружаемого с GitHub. В нём указаны инструкции и ссылки для скачивания второго компонента — Downloader2, способного не только доставлять полезную нагрузку, но и выполнять команды, позволяющие изменить частоту связи с сервером или инициировать загрузку DLL.

Downloader2 загружает шпионское ПО SpyGlace и его загрузчик. Все передаваемые данные шифруются с помощью XOR, а затем — в случае самого SpyGlace — ещё и AES-алгоритмом с фиксированными ключом и вектором инициализации. SpyGlace поддерживает динамическое разрешение API с помощью схемы, сочетающей сложение и побитовые операции. Зафиксировано три новых версии — 3.1.12, 3.1.13 и 3.1.14. В последней из них добавлена команда uld, выгружающая модуль после вызова нужной функции, а также изменён путь автозапуска.

Передача данных с заражённого устройства на управляющие серверы осуществляется через комбинацию BASE64 и модифицированного RC4. Каждый запрос содержит значения, включая MD5-хеш строки «GOLDBAR», сведения о системе и зашифрованный блок с уникальной информацией о машине. Этот же идентификатор ранее фигурировал в атаках на Японию, зафиксированных другими организациями.

В качестве приманки используется поддельное резюме с перечнем научных публикаций. Однако имена настоящих авторов не совпадают с отправителем письма. В резюме указано имя, частично совпадающее с адресом Gmail, что позволяет предположить, что аккаунт создавался специально для этой атаки.

Роль GitHub в инфраструктуре APT-C-60 стала более заметной: через репозитории распространяются все версии вредоносного кода, а также хранятся управляющие файлы. Исследователи успели зафиксировать даты загрузки всех новых версий SpyGlace, а также извлекли адреса электронной почты и сведения о заражённых устройствах из истории коммитов.

Несмотря на переход с Bitbucket на GitHub и отдельные обновления вредоносных компонентов, стиль APT-C-60 остаётся прежним — акцент на Восточную Азию, использование легитимных сервисов для доставки и управления, а также продуманная маскировка. Специалисты советуют сохранять повышенное внимание к подобным атакам, особенно при работе с почтой и обработке откликов на вакансии.