Rshell переписали, пути замаскировали под Tencent, полезную нагрузку спрятали в «шрифт». Анатомия целевой атаки, сорванной в апреле 2026 года
Кто-то очень хотел порулить индийским заводом через открытый код.
В апреле 2026 года специалисты Cato CTRL остановили попытку взлома крупного международного производителя. Атакующие пытались закрепиться в сети компании с помощью ранее не описанного вредоносного инструмента TencShell, который мог дать им удаленный контроль над зараженным компьютером.
По данным Cato CTRL, подозрительная активность шла через учетную запись стороннего пользователя, подключенного к среде заказчика. Инцидент затронул площадку компании в Индии. Первоначальный способ заражения пока неизвестен: злоумышленники могли использовать фишинг, вредоносную загрузку или другой веб-канал доставки.
Цепочка атаки включала несколько этапов. Сначала на системе запускался небольшой загрузчик, который не нес в себе все возможности вредоносной программы, а лишь готовил следующий шаг. Затем он обращался к ресурсу, замаскированному под файл веб-шрифта с расширением .woff. Такие файлы обычно используют сайты для загрузки шрифтов, поэтому подобный запрос может выглядеть как обычная часть веб-страницы.
На самом деле за «шрифтом» скрывался код Donut, открытого инструмента для запуска полезной нагрузки прямо в памяти. Такой подход помогает атакующим меньше оставлять следов на диске. После загрузки вредоносный код выделял участок памяти, копировал туда полученные данные, менял права доступа на выполнение и запускал код через новый поток. В итоге в памяти запускался TencShell.
TencShell основан на Rshell, открытом каркасе для удаленного управления, написанном на Go. В найденной версии злоумышленники изменили доставку и сетевое взаимодействие под собственную операцию. Cato CTRL назвала программу TencShell из-за сочетания возможностей удаленной оболочки и сетевых путей, похожих на обращения к службам Tencent. Такой маскарад помогает вредоносному трафику выглядеть как обычные запросы к прикладным интерфейсам.
Специалисты осторожно связывают активность с Китаем. На такую оценку указывают происхождение TencShell от Rshell, имитация путей Tencent и особенности инфраструктуры. При этом в Cato CTRL подчеркивают, что одного такого набора признаков недостаточно для точного установления исполнителей.
Если бы атака удалась, TencShell позволил бы выполнять команды на зараженной системе, запускать дополнительные программы из памяти, просматривать файлы, управлять процессами, собирать сведения о компьютере, проксировать трафик и использовать зараженную машину как точку входа в другие участки сети. В наборе возможностей также нашли функции для удаленного взаимодействия с экраном, имитации нажатий клавиш и действий мыши, запуска модулей после взлома, работы с файлами, обхода контроля учетных записей Windows и развертывания закрепления.
Для сохранения доступа TencShell использовал ключ автозапуска Windows в реестре: \Software\Microsoft\Windows\CurrentVersion\Run. Вредоносная программа создавала значение OneDriveHealthTask, похожее на легитимный компонент Microsoft. Перед созданием записи TencShell проверял, существует ли значение уже, что говорит о поддержке повторной установки или проверки закрепления.
Cato CTRL заблокировала попытку взлома до того, как атакующие смогли получить устойчивый удаленный доступ. Сработали признаки подозрительной инфраструктуры, загрузки полезной нагрузки, маскировки под веб-шрифт и повторного использования похожих сетевых путей. Компания считает инцидент примером того, как атакующие берут открытые инструменты, дорабатывают их под конкретную операцию и пытаются спрятать вредоносную активность среди обычного корпоративного трафика.