Вьетнамская хакерская группировка BatShadow, активная как минимум год, проводит сложную кампанию социальной инженерии, направленную на соискателей и специалистов по цифровому маркетингу. Основной мотивацией группы являются финансы, что соответствует тактике злоумышленников, специализирующихся на захвате бизнес-аккаунтов Ф⃰. Для достижения своих целей они используют ранее не задокументированное вредоносное программное обеспечение.
Центральным элементом атаки является новая вредоносная программа Vampire Bot, написанная на языке программирования Go (Golang). После проникновения в систему Vampire Bot способен профилировать зараженный хост, похищать широкий спектр информации, делать скриншоты с настраиваемыми интервалами, выполнять удаленные команды с сервера злоумышленников и загружать дополнительные вредоносные модули. Управление программой осуществляется через командный сервер, расположенный по адресу
Атака начинается с того, что злоумышленники, выдавая себя за рекрутеров, распространяют вредоносные ZIP-архивы под видом описаний вакансий или корпоративных документов. Внутри архива находится PDF-файл-приманка и вредоносный ярлык (.LNK) или исполняемый файл, замаскированный под документ. Когда пользователь открывает файл.LNK, запускается встроенный скрипт PowerShell.
Запущенный PowerShell-скрипт подключается к внешнему серверу и загружает два компонента. Первый — это убедительный документ-приманка, представляющий собой описание маркетинговой вакансии в компании Marriott. Второй компонент — это ZIP-архив, содержащий программу для удаленного доступа XtraViewer. Она устанавливается в системе для обеспечения постоянного доступа злоумышленников к зараженному устройству.
Ключевой этап атаки включает в себя обман, связанный с браузером. Документ-приманка от Marriott содержит ссылку для «просмотра» вакансии. При переходе по ней в браузере Google Chrome открывается целевая страница с поддельным сообщением об ошибке, в котором говорится, что «страница поддерживает загрузку только в Microsoft Edge». Поскольку Chrome блокирует автоматическое перенаправление, пользователю предлагается вручную скопировать URL-адрес и вставить его в браузер Edge.
Когда пользователь открывает скопированный URL-адрес в Microsoft Edge, это действие, инициированное вручную, обходит некоторые механизмы безопасности. На странице отображается второе поддельное сообщение об ошибке: «В онлайн-просмотрщике PDF в настоящее время возникла проблема. Файл был сжат и отправлен на ваше устройство». Это сообщение инициирует автоматическую загрузку финального вредоносного архива.
Финальный ZIP-архив содержит исполняемый файл Vampire Bot. Для маскировки используется обманчивое имя файла, имитирующее PDF-документ с помощью лишних пробелов, например, «Marriott_Marketing_Job_Description.pdf.exe». Это сделано для того, чтобы пользователь с меньшей вероятностью заподозрил угрозу и запустил вредоносную программу.
Данную кампанию обнаружили и проанализировали исследователи Адитья К. Суд и Варадхараджан К. из Aryaka Threat Research Labs. Отчет об их находках был передан изданию The Hacker News. Связь группировки BatShadow с Вьетнамом подтверждается использованием IP-адреса
В прошлых кампаниях BatShadow использовала похожие домены, такие как
Подобная тактика не является уникальной. В октябре 2024 года исследовательская компания Cyble сообщила о другой вьетнамской группировке, которая проводила многоэтапную атаку, нацеленную на ту же аудиторию — соискателей работы и маркетологов. В той кампании злоумышленники использовали фишинговые письма с зараженными файлами описания вакансий для развертывания вредоносного ПО Quasar RAT.
Изображение носит иллюстративный характер
Центральным элементом атаки является новая вредоносная программа Vampire Bot, написанная на языке программирования Go (Golang). После проникновения в систему Vampire Bot способен профилировать зараженный хост, похищать широкий спектр информации, делать скриншоты с настраиваемыми интервалами, выполнять удаленные команды с сервера злоумышленников и загружать дополнительные вредоносные модули. Управление программой осуществляется через командный сервер, расположенный по адресу
api3.samsungcareers[.]work. Атака начинается с того, что злоумышленники, выдавая себя за рекрутеров, распространяют вредоносные ZIP-архивы под видом описаний вакансий или корпоративных документов. Внутри архива находится PDF-файл-приманка и вредоносный ярлык (.LNK) или исполняемый файл, замаскированный под документ. Когда пользователь открывает файл.LNK, запускается встроенный скрипт PowerShell.
Запущенный PowerShell-скрипт подключается к внешнему серверу и загружает два компонента. Первый — это убедительный документ-приманка, представляющий собой описание маркетинговой вакансии в компании Marriott. Второй компонент — это ZIP-архив, содержащий программу для удаленного доступа XtraViewer. Она устанавливается в системе для обеспечения постоянного доступа злоумышленников к зараженному устройству.
Ключевой этап атаки включает в себя обман, связанный с браузером. Документ-приманка от Marriott содержит ссылку для «просмотра» вакансии. При переходе по ней в браузере Google Chrome открывается целевая страница с поддельным сообщением об ошибке, в котором говорится, что «страница поддерживает загрузку только в Microsoft Edge». Поскольку Chrome блокирует автоматическое перенаправление, пользователю предлагается вручную скопировать URL-адрес и вставить его в браузер Edge.
Когда пользователь открывает скопированный URL-адрес в Microsoft Edge, это действие, инициированное вручную, обходит некоторые механизмы безопасности. На странице отображается второе поддельное сообщение об ошибке: «В онлайн-просмотрщике PDF в настоящее время возникла проблема. Файл был сжат и отправлен на ваше устройство». Это сообщение инициирует автоматическую загрузку финального вредоносного архива.
Финальный ZIP-архив содержит исполняемый файл Vampire Bot. Для маскировки используется обманчивое имя файла, имитирующее PDF-документ с помощью лишних пробелов, например, «Marriott_Marketing_Job_Description.pdf.exe». Это сделано для того, чтобы пользователь с меньшей вероятностью заподозрил угрозу и запустил вредоносную программу.
Данную кампанию обнаружили и проанализировали исследователи Адитья К. Суд и Варадхараджан К. из Aryaka Threat Research Labs. Отчет об их находках был передан изданию The Hacker News. Связь группировки BatShadow с Вьетнамом подтверждается использованием IP-адреса
103.124.95[.]161, который ранее был замечен в активности вьетнамских хакеров, а также тактикой, нацеленной на специалистов по цифровому маркетингу. В прошлых кампаниях BatShadow использовала похожие домены, такие как
samsung-work.com, и распространяла другие известные семейства вредоносных программ. Среди них были Agent Tesla, Lumma Stealer и Venom RAT, что указывает на опыт и постоянство деятельности этой группы. Подобная тактика не является уникальной. В октябре 2024 года исследовательская компания Cyble сообщила о другой вьетнамской группировке, которая проводила многоэтапную атаку, нацеленную на ту же аудиторию — соискателей работы и маркетологов. В той кампании злоумышленники использовали фишинговые письма с зараженными файлами описания вакансий для развертывания вредоносного ПО Quasar RAT.
