Исследователи из швейцарского подразделения Acronis Threat Research Unit (TRU) выявили новую киберугрозу, получившую название CRESCENTHARVEST. Активность этой кампании была зафиксирована после 9 января и классифицируется как использование трояна удаленного доступа (RAT) и инструмента для кражи информации (Info Stealer). Основной целью злоумышленников является хищение конфиденциальных данных и ведение долгосрочного шпионажа. На данный момент специалисты не могут подтвердить, увенчались ли какие-либо из этих атак успехом, однако техническая сложность инструментов указывает на серьезность угрозы.
Целевой аудиторией хакеров стали сторонники протестов в Иране, персоязычные иранцы, а также представители диаспоры. Злоумышленники активно эксплуатируют геополитическую повестку, связанную с протестами, начавшимися в конце 2025 года. Для привлечения внимания жертв используется изощренная социальная инженерия: распространяются файлы, замаскированные под аутентичные медиаматериалы, включая отчет на фарси с новостями из «мятежных городов Ирана». Чтобы повысить доверие к содержимому, авторы атак используют «героические термины» при описании протестных акций. Предполагается, что доставка вредоносного ПО осуществляется через целевой фишинг (spear-phishing) или длительное социальное взаимодействие, направленное на построение доверительных отношений перед отправкой полезной нагрузки.
Хотя точная атрибуция группы пока не произведена, эксперты полагают, что за атакой стоит группировка, связанная с Ираном. Это подтверждается тактическим сходством с известными иранскими хакерскими группами, такими как Charming Kitten и Tortoiseshell, которые также имеют историю создания фальшивых личностей для внедрения в доверие к жертвам. CRESCENTHARVEST стала второй идентифицированной кампанией, направленной на частных лиц после начала общенациональных протестов. Ранее, в прошлом месяце, французская компания HarfangLab обнаружила схожий кластер угроз под названием RedKitten, который использовал бэкдор SloppyMIO для атак на НКО и лиц, документирующих нарушения прав человека.
Цепочка заражения начинается с получения жертвой вредоносного архива RAR, содержащего смесь легитимных видео или изображений и скрытых угроз. Хакеры применяют технику двойного расширения для ярлыков Windows (LNK), маскируя их под безобидные файлы, например,
Вторая стадия атаки базируется на методе боковой загрузки DLL (DLL Side-Loading). Загруженный архив содержит легитимный бинарный файл
Вредоносное программное обеспечение опирается на две ключевые DLL. Первая,
Для управления зараженными системами используется командно-контрольная инфраструктура (C2), размещенная на домене
Детальный анализ данной кампании был проведен исследователями Субхаджитом Сингхой (Subhajeet Singha), Элиадом Кимхи (Eliad Kimhy) и Даррелом Виртусио (Darrel Virtusio). Их отчет подчеркивает эволюцию методов иранских кибергруппировок, которые все чаще комбинируют сложные технические приемы, такие как обход защиты Chrome, с глубоко проработанными психологическими манипуляциями, ориентированными на социально активные слои населения.
Изображение носит иллюстративный характер
Целевой аудиторией хакеров стали сторонники протестов в Иране, персоязычные иранцы, а также представители диаспоры. Злоумышленники активно эксплуатируют геополитическую повестку, связанную с протестами, начавшимися в конце 2025 года. Для привлечения внимания жертв используется изощренная социальная инженерия: распространяются файлы, замаскированные под аутентичные медиаматериалы, включая отчет на фарси с новостями из «мятежных городов Ирана». Чтобы повысить доверие к содержимому, авторы атак используют «героические термины» при описании протестных акций. Предполагается, что доставка вредоносного ПО осуществляется через целевой фишинг (spear-phishing) или длительное социальное взаимодействие, направленное на построение доверительных отношений перед отправкой полезной нагрузки.
Хотя точная атрибуция группы пока не произведена, эксперты полагают, что за атакой стоит группировка, связанная с Ираном. Это подтверждается тактическим сходством с известными иранскими хакерскими группами, такими как Charming Kitten и Tortoiseshell, которые также имеют историю создания фальшивых личностей для внедрения в доверие к жертвам. CRESCENTHARVEST стала второй идентифицированной кампанией, направленной на частных лиц после начала общенациональных протестов. Ранее, в прошлом месяце, французская компания HarfangLab обнаружила схожий кластер угроз под названием RedKitten, который использовал бэкдор SloppyMIO для атак на НКО и лиц, документирующих нарушения прав человека.
Цепочка заражения начинается с получения жертвой вредоносного архива RAR, содержащего смесь легитимных видео или изображений и скрытых угроз. Хакеры применяют технику двойного расширения для ярлыков Windows (LNK), маскируя их под безобидные файлы, например,
.jpg.lnk или .mp4.lnk. При запуске такого ярлыка инициируется выполнение кода PowerShell, который действует в двух направлениях: открывает отвлекающее изображение или видео для усыпления бдительности пользователя и одновременно загружает второй ZIP-архив. Вторая стадия атаки базируется на методе боковой загрузки DLL (DLL Side-Loading). Загруженный архив содержит легитимный бинарный файл
software_reporter_tool.exe, подписанный Google и являющийся частью утилиты очистки Chrome. Запуск этого исполняемого файла приводит к подгрузке вредоносных библиотек DLL, включенных в тот же архив. Этот метод позволяет злоумышленникам обходить некоторые механизмы безопасности, так как основной процесс является доверенным приложением. Вредоносное программное обеспечение опирается на две ключевые DLL. Первая,
urtcbased140d_d.dll, представляет собой имплант на C++, функционально пересекающийся с проектом с открытым исходным кодом ChromElevator. Его главная задача — извлечение и расшифровка ключей шифрования Chrome (app-bound encryption keys) через COM-интерфейсы. Вторая библиотека, version.dll, является основным модулем RAT CRESCENTHARVEST. Она отвечает за перечисление установленных антивирусов, сбор метаданных системы, идентификацию локальных учетных записей и загрузку дополнительных модулей. Особое внимание уделяется краже учетных данных браузера, данных десктопной версии Telegram и перехвату нажатий клавиш. Для управления зараженными системами используется командно-контрольная инфраструктура (C2), размещенная на домене
servicelog-information[.]com. Обмен данными происходит через Windows Win HTTP API, что позволяет маскировать вредоносный трафик под обычную сетевую активность. Операторы могут отправлять широкий спектр команд, включая Anti (проверка на наличие средств анализа), His (кража истории браузера), KeyLog (активация кейлоггера), Tel_s (кража сессии Telegram), Cook (кража куки-файлов), F_log (хищение учетных данных браузера) и Upload (загрузка файлов). Примечательно, что команда ps для запуска скриптов PowerShell отмечена как нерабочая. Детальный анализ данной кампании был проведен исследователями Субхаджитом Сингхой (Subhajeet Singha), Элиадом Кимхи (Eliad Kimhy) и Даррелом Виртусио (Darrel Virtusio). Их отчет подчеркивает эволюцию методов иранских кибергруппировок, которые все чаще комбинируют сложные технические приемы, такие как обход защиты Chrome, с глубоко проработанными психологическими манипуляциями, ориентированными на социально активные слои населения.
