В первом квартале 2025 года зафиксированы динамичные кампании, в рамках которых киберпреступники совершенствуют свои методы атаки, используя интерактивную песочницу для оценки поведения вредоносного ПО и получения информативных индикаторов компрометации.
В начале 2025 года злоумышленники применили технику ClickFix, внедряя поддельные CAPTCHA-страницы на заражаемых сайтах. Эти страницы побуждают пользователей выполнять вредоносные команды PowerShell, что приводит к загрузке и запуску трояна удалённого доступа NetSupport RAT. Запрещённый софт предоставляет полный контроль над системой: от мониторинга экрана и управления файлами до выполнения произвольных команд, запуска сценариев, регистрации нажатий клавиш и передачи зашифрованных данных через устойчивое C2-соединение. зафиксировал изменение реестровых ключей, выполнение скриптов через wscript.exe и создание объектов интернет-соединения, что подтверждает соответствие TTP технике по ATT&CK.
Группа Lynx Ransomware-as-a-Service активно эксплуатирует структурированную партнерскую программу, позволяющую настраивать профили жертв, генерировать уникальные образцы вредоносного ПО и планировать утечки данных. В январе 2025 года произошёл взлом Hunter Taubman Fischer & Li LLC, а уже в феврале атака на австралийский автодилер Brown and Hurley привела к краже около 170 ГБ конфиденциальной информации, включая кадровые документы, бизнес-контракты, данные клиентов и финансовые отчёты. Рансомеру удаётся предшествовать процессу шифрования, похищая ценные сведения через защищённые каналы, удалять теневые копии и блокировать восстановление, а также систематически переименовывать файлы (например, academicroad.rtf превращается в academicroad.rtf.LYNX), что сопровождается сменой фонового изображения рабочего стола на сообщение с инструкциями по загрузке Tor.
Обнаруженный в начале квартала AsyncRAT использует изощрённую цепочку заражения, начинающуюся с фишингового письма со ссылкой Dropbox. Полученный ZIP-архив содержит интернет-ярлык, который через туннель TryCloudflare запрашивает Windows-шорткат, инициирующий последовательность скриптов (PowerShell, JavaScript, batch) и последующую загрузку Python-пейлоада. Итогом становится развёртывание сразу нескольких вредоносных семейств – AsyncRAT, Venom RAT и XWorm. Программа обеспечивает удалённое выполнение команд, сбор данных, длительный доступ через модификацию реестра и запусковых папок, используя обфускацию, шифрование на основе AES с жестко заданным ключом и механизм mutex с именем "AsyncMutex_alosh". выявил сетевые соединения с доменом на порту 7575, что послужило рекомендацией для блокировки указанного адреса.
Lumma Stealer высветился в анализе благодаря использованию инфраструктуры GitHub для распространения через официальные релизы, обходя стандартные меры безопасности. Загрузившись, программа становится кражей данных, собирая браузерные учётные данные, cookie, информацию о криптовалютных кошельках и системные сведения. При этом Lumma Stealer способна дополнительно загружать и запускать SectopRAT, Vidar, Cobeacon и ряд собственных вариантов, используя модификации реестра и записи автозапуска для устойчивости, что приводит к появлению характерных сетевых запросов, задокументированных в .
InvisibleFerret представляет собой угрозу, распространяемую посредством социальной инженерии через поддельные предложения работы и фиктивные интервью. Маскируясь под легитимное программное обеспечение, используемое в процессе собеседования, вредоносное ПО побуждает жертв загружать инструменты, реализованные на запутанных Python-скриптах. Программа осуществляет поиск и экспорт ценной информации, такой как исходный код, данные о криптовалютных кошельках и личные файлы, и связана с BeaverTail – JavaScript-инфостилером, предоставляющим портативное окружение Python (p.zip) для выполнения InvisibleFerret. При этом собирается информация об ОС, имени хоста, пользователе и геолокация посредством , а вредоносные HTTP-запросы органично вписываются в законный сетевой трафик, соответствуя техникам T1016 из ATT&CK.
Платформа демонстрирует возможности интерактивного анализа поведения вредоносного ПО в режиме реального времени. Систематический сбор индикаторов компрометации, структурированные отчёты и сопоставление действий с фреймворком ATT&CK позволяют оперативно выявлять особенности атак и поддерживать тесное взаимодействие между службами безопасности, что существенно повышает эффективность реагирования на угрозы.
Эти кампании показывают, как киберпреступники адаптируются, используя как сложные программные цепочки, так и надежные инфраструктурные платформы, такие как GitHub и Tor, для сокрытия следов и достижения максимального эффекта. Тщательное документирование всех технических характеристик атак – от манипуляций в реестре и использования процессной инъекции до дешифровки зашифрованных соединений – предоставляет ценные данные для специалистов по информационной безопасности, способствуя быстрому обнаружению и нейтрализации угроз.
Изображение носит иллюстративный характер
В начале 2025 года злоумышленники применили технику ClickFix, внедряя поддельные CAPTCHA-страницы на заражаемых сайтах. Эти страницы побуждают пользователей выполнять вредоносные команды PowerShell, что приводит к загрузке и запуску трояна удалённого доступа NetSupport RAT. Запрещённый софт предоставляет полный контроль над системой: от мониторинга экрана и управления файлами до выполнения произвольных команд, запуска сценариев, регистрации нажатий клавиш и передачи зашифрованных данных через устойчивое C2-соединение. зафиксировал изменение реестровых ключей, выполнение скриптов через wscript.exe и создание объектов интернет-соединения, что подтверждает соответствие TTP технике по ATT&CK.
Группа Lynx Ransomware-as-a-Service активно эксплуатирует структурированную партнерскую программу, позволяющую настраивать профили жертв, генерировать уникальные образцы вредоносного ПО и планировать утечки данных. В январе 2025 года произошёл взлом Hunter Taubman Fischer & Li LLC, а уже в феврале атака на австралийский автодилер Brown and Hurley привела к краже около 170 ГБ конфиденциальной информации, включая кадровые документы, бизнес-контракты, данные клиентов и финансовые отчёты. Рансомеру удаётся предшествовать процессу шифрования, похищая ценные сведения через защищённые каналы, удалять теневые копии и блокировать восстановление, а также систематически переименовывать файлы (например, academicroad.rtf превращается в academicroad.rtf.LYNX), что сопровождается сменой фонового изображения рабочего стола на сообщение с инструкциями по загрузке Tor.
Обнаруженный в начале квартала AsyncRAT использует изощрённую цепочку заражения, начинающуюся с фишингового письма со ссылкой Dropbox. Полученный ZIP-архив содержит интернет-ярлык, который через туннель TryCloudflare запрашивает Windows-шорткат, инициирующий последовательность скриптов (PowerShell, JavaScript, batch) и последующую загрузку Python-пейлоада. Итогом становится развёртывание сразу нескольких вредоносных семейств – AsyncRAT, Venom RAT и XWorm. Программа обеспечивает удалённое выполнение команд, сбор данных, длительный доступ через модификацию реестра и запусковых папок, используя обфускацию, шифрование на основе AES с жестко заданным ключом и механизм mutex с именем "AsyncMutex_alosh". выявил сетевые соединения с доменом на порту 7575, что послужило рекомендацией для блокировки указанного адреса.
Lumma Stealer высветился в анализе благодаря использованию инфраструктуры GitHub для распространения через официальные релизы, обходя стандартные меры безопасности. Загрузившись, программа становится кражей данных, собирая браузерные учётные данные, cookie, информацию о криптовалютных кошельках и системные сведения. При этом Lumma Stealer способна дополнительно загружать и запускать SectopRAT, Vidar, Cobeacon и ряд собственных вариантов, используя модификации реестра и записи автозапуска для устойчивости, что приводит к появлению характерных сетевых запросов, задокументированных в .
InvisibleFerret представляет собой угрозу, распространяемую посредством социальной инженерии через поддельные предложения работы и фиктивные интервью. Маскируясь под легитимное программное обеспечение, используемое в процессе собеседования, вредоносное ПО побуждает жертв загружать инструменты, реализованные на запутанных Python-скриптах. Программа осуществляет поиск и экспорт ценной информации, такой как исходный код, данные о криптовалютных кошельках и личные файлы, и связана с BeaverTail – JavaScript-инфостилером, предоставляющим портативное окружение Python (p.zip) для выполнения InvisibleFerret. При этом собирается информация об ОС, имени хоста, пользователе и геолокация посредством , а вредоносные HTTP-запросы органично вписываются в законный сетевой трафик, соответствуя техникам T1016 из ATT&CK.
Платформа демонстрирует возможности интерактивного анализа поведения вредоносного ПО в режиме реального времени. Систематический сбор индикаторов компрометации, структурированные отчёты и сопоставление действий с фреймворком ATT&CK позволяют оперативно выявлять особенности атак и поддерживать тесное взаимодействие между службами безопасности, что существенно повышает эффективность реагирования на угрозы.
Эти кампании показывают, как киберпреступники адаптируются, используя как сложные программные цепочки, так и надежные инфраструктурные платформы, такие как GitHub и Tor, для сокрытия следов и достижения максимального эффекта. Тщательное документирование всех технических характеристик атак – от манипуляций в реестре и использования процессной инъекции до дешифровки зашифрованных соединений – предоставляет ценные данные для специалистов по информационной безопасности, способствуя быстрому обнаружению и нейтрализации угроз.
