Провайдер в курсе всего. Девушка узнает последней
Image

Провайдер в курсе всего. Девушка узнает последней

Жми подписаться, ведь дальше градус будет только расти.

Не смотрите на эти PDF-файлы. За ними прячется бэкдор, который видит ваш экран

leer en español

SloppyLemming Arctic Wolf Cloudflare Microsoft BurrowShell Havoc кибершпионаж
Не смотрите на эти PDF-файлы. За ними прячется бэкдор, который видит ваш экран
SloppyLemming Arctic Wolf Cloudflare Microsoft BurrowShell Havoc кибершпионаж

Грань между полезными файлами и вирусами стала почти неразличимой.

image

За последний год в Южной Азии заметно выросло число шпионских атак на государственные структуры и операторов критической инфраструктуры. Команда Arctic Wolf описала кампанию, которую с умеренной уверенностью связывает с группировкой SloppyLemming, также известной как Outrider Tiger и Fishing Elephant. Целями стали организации в Пакистане и Бангладеш, а сама операция, по оценке авторов отчёта, длилась как минимум с января 2025 года по январь 2026 года и сопровождалась расширением инфраструктуры и набора инструментов.

В кампании применяли две разные цепочки заражения. Первая начиналась с фишинговых писем с PDF-приманкой. Документ побуждал перейти по ссылке, которая вела на манифест ClickOnce. Дальше на устройство загружали набор файлов для DLL Sideloading: легитимный исполняемый файл Microsoft .NET Framework NGenTask.exe, замаскированный под OneDrive.exe, и вредоносную библиотеку mscorsvc.dll. Загрузчик расшифровывал RC4-ключом зашифрованный блок данных и запускал в памяти x64-имплант BurrowShell.

BurrowShell работал как полноценная бэкдор-платформа. Имплант поддерживал операции с файлами, снимки экрана, удалённый запуск команд и туннелирование трафика через SOCKS-прокси. Обмен с управляющей инфраструктурой маскировали под обращения службы обновлений Windows, а полезную нагрузку защищали симметричным шифрованием.

Вторая цепочка использовала Excel-файлы с макросами. Макрос скачивал компоненты в каталог ProgramData и запускал легитимный phoneactivate.exe, переименованный в audiodg.exe, который загружал рядом расположенную вредоносную DLL. Основной нагрузкой оказался троян удалённого доступа с кейлоггером, написанный на Rust. Помимо перехвата нажатий клавиш, модуль выполнял разведку сети, включая сканирование портов и обнаружение хостов, а также поддерживал команды для работы с файлами и запуск процессов.

Отдельное внимание Arctic Wolf уделила инфраструктуре. За рассматриваемый период нашли 112 доменов на Cloudflare Workers, имитирующих государственные и отраслевые организации Пакистана и Бангладеш. Пик регистраций пришёлся на июль 2025 года, когда появилось 42 домена. Три узла оказались настроены как открытые каталоги, из-за чего стали доступны подготовленные компоненты вредоносного ПО, включая загрузчики фреймворка Havoc с различными ключами RC4.

По данным отчёта, выбор целей укладывается в логику кибершпионажа. В Пакистане интерес проявляли к структурам, связанным с обороной, телекомом и ядерным регулированием, в Бангладеш — к энергетике и финансовому сектору. Авторы также рассмотрели пересечения с тактиками SideWinder, но указали на различия в инструментах и признаках инфраструктуры.