Группа киберразведки Positive Technologies зафиксировала новую фишинговую кампанию хакерской группировки NetMedved, нацеленную на российские организации. Как и в описанных нами ранее атаках, операторы используют деловую тематику, документы-приманки и легитимный инструмент удаленного администрирования NetSupport Manager, развернутый в системе жертвы.
В предыдущих кампаниях NetMedved уже применялись архивы с документами-приманками, вредоносные LNK-файлы, PowerShell-загрузчики, сценарии с использованием finger, а также HTA-варианты с декодированием приманки и NetSupportRAT из тела файла. В новой кампании операторы сохранили основную модель атаки, но расширили набор начальных стадий и инфраструктурных приемов.
В рамках исследования были выявлены два основных направления развития кампании:
LNK-файлы запускают PowerShell-цепочку через сервис-redirector, получают AES-зашифрованный PowerShell-stage и разворачивают NetSupport Client из ZIP-архива;
ZIP/JScript-вариант, в котором полезная нагрузка встроена непосредственно в .js-файл и декодируется локально через Windows Script Host.
LNK- и PowerShell-сценарий
Цепочка атаки с использованием LNK-файла выглядит следующим образом:
В исследованных образцах LNK-файлы маскируются под заявки на закупку от имени российских компаний. Названия документов и файлов выдержаны в деловом стиле и рассчитаны на сотрудников, работающих с закупками, договорами и документооборотом. Для LNK-вариантов был зафиксирован следующий паттерн имен файлов: «Заявка на закупку от компании [REDACTED] на июнь 2026г.lnk».
Исследованные LNK содержат Base64-команду, закодированную в UTF-16LE. После декодирования она принимает следующий вид:
PowerShell в данной цепочке выполняет роль загрузчика: он обращается к удаленному ресурсу, получает следующий этап полезной нагрузки и запускает его в памяти.
Для затруднения обнаружения в образцах используется несколько типовых видов обфускации:
Командлет
Invoke-Expression, отвечающий за выполнение полученного кода, не указывается напрямую, а разрешается динамически черезGet-Commandс wildcard-маской – шаблоном поиска с подстановочными символами, где означает любую последовательность символов. Например, конструкция (gcm vo*p*s*n) позволяет найти Invoke-Expression без его явного указания в коде.Для получения следующего этапа полезной нагрузки используется COM-объект
MSXML2.ServerXMLHTTP, а не более типичные для PowerShell механизмы вроде Invoke-WebRequest,DownloadStringилиNet.WebClient. За счет этого в коде отсутствуют распространенные сигнатурные строки, часто используемые при статическом анализе вредоносных PowerShell-скриптов. Однако такой прием не позволяет полностью скрыть активность загрузчика. Полезная нагрузка по-прежнему может детектироваться по созданию COM-объектаMSXML2.ServerXMLHTTP, вызовам методов.open()и.send(), обращению к свойству.responseText, а также по последующему исполнению полученного ответа как кода.
В текущей кампании домен crop[.]sh не является основным сервером полезной нагрузки, а используется как промежуточный redirector-слой между первичным LNK и инфраструктурой доставки.
![Цепочка перенаправлений crop[.]sh → sunlightfriends[.]tech](https://habrastorage.org/r/w1560/getpro/habr/upload_files/a1b/5f5/aaa/a1b5f5aaac23b4669e860525078076df.png "Цепочка перенаправлений crop[.]sh → sunlightfriends[.]tech")
При запуске LNK-файла инициируется обращение к sunlightfriends.tech, сервер возвращает PowerShell-код, содержащий крупный Base64-blob. Этот blob представляет собой AES-зашифрованный PowerShell-код следующего этапа. Ключ и вектор инициализации – служебное значение, необходимое для корректной расшифровки AES-данных вместе с ключом, – также встроены в тело скрипта в Base64-форме.
Далее скрипт расшифровывает встроенный blob алгоритмом AES-128-CBC, преобразует полученный результат в PowerShell-код и выполняет его в памяти через обфусцированный вызов Invoke-Expression.
После расшифровки полезная нагрузка выполняет роль загрузчика: через redirect-домен обращается к sunlightfriends.tech, скачивает ZIP-архив, сохраняет его во временную директорию и распаковывает содержимое в %LOCALAPPDATA%\. Из распакованного архива запускается NetSupportRAT.
Для закрепления в системе создаетcя запись автозапуска в ветке HKCU\Software\Microsoft\Windows\CurrentVersion\Run, указывающая на извлеченный NetSupportRAT. В результате полезная нагрузка будет автоматически запускаться при последующих входах пользователя в систему.
Внутри ZIP находится client32.ini – конфигурационный файл NetSupport Client. В нем заданы параметры скрытного запуска, ограничения пользовательского интерфейса и gateway-серверы.
Параметр | Значение |
Silent=1 | тихий режим работы клиента |
SysTray=0 | отсутствие значка в системном трее |
DisableDisconnect=1 | запрет отключения пользователем |
DisableChat=1 | отключение встроенного чата |
DisableMessage=1 | отключение сообщений NetSupport |
DisableRequestHelp=1 | отключение запроса помощи |
ValidAddresses.TCP=* | разрешение подключений с любых адресов |
CMPI=60 | интервал опроса gateway 60 секунд |
GatewayAddress=imhfamily.com:1414 | основной NetSupport gateway |
SecondaryGateway=akiliridge.com:1414 | резервный NetSupport gateway |
Цепочка атаки с использованием ZIP-архива и Jscript-дроппера
В ходе дальнейшего исследования был выявлен еще один вариант доставки NetSupportRAT, отличающийся от LNK-цепочки с PowerShell. В этом случае операторы распространяли ZIP-архив, содержащий вредоносный JScript-файл, замаскированный под закупочный документ. Тематика социальной инженерии при этом осталась прежней, а цепочка атаки выглядит следующим образом:
Скрипт представляет собой JScript-дроппер, использующий COM-объекты Windows для декодирования встроенных данных, записи файлов на диск, запуска документа-приманки и закрепления в системе.
Для декодирования встроенных данных используется механизм bin.base64 через XML DOM. Такой подход позволяет хранить внутри JScript-кода как документ-приманку, так и компоненты NetSupport Client в виде закодированных blob-данных. В наблюдаемом варианте основная полезная нагрузка извлекается из тела самого скрипта, без необходимости обращения к внешней инфраструктуре.
После запуска JScript создает и открывает PDF-файл NOTICE-793-0001.pdf, параллельно разворачивая NetSupport RAT.
В отличие от LNK-варианта, где документ-приманка входит в состав ZIP-архива, в JScript-варианте PDF хранится в закодированном виде непосредственно внутри скрипта.
В одном из LNK-образцов также наблюдалась дополнительная тактика: PowerShell-стейджер автоматически открывал ссылку на Яндекс Диск, где был размещен PDF-файл. Использование легитимного облачного сервиса для размещения приманки снижает подозрительность сетевого обращения и затрудняет блокировку по доменному признаку.
В отличие от LNK-варианта, в цепочке с использованием JS-файла зафиксировано два механизма закрепления:
Скрытая задача планировщика Windows. Задача создается через COM-интерфейс Schedule.Service. В параметрах задачи зафиксированы следующие значения:
Hidden=TrueAction=%LOCALAPPDATA%\Stereo\audio.exe
Ключ автозапуска текущего пользователя. В реестре создается значение Stereo, указывающее на основной исполняемый файл NetSupport Client:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Stereo = C:\Users\admin\AppData\Local\Stereo\audio.exe
Сочетание двух механизмов закрепления повышает устойчивость установки: если один из них будет удален в ходе стандартной очистки автозапуска, второй может продолжить обеспечивать запуск NetSupport Client после перезагрузки или повторного входа пользователя в систему.
В ходе исследования JScript-дроппера был проведен ретроспективный поиск по базе данных вредоносных образцов. В результате были обнаружены скрипты, распространявшиеся в 2024 году и демонстрирующие характерное сходство с кампанией 2026 года по трем ключевым признакам.
Цепочка распространения. Доставка осуществлялась аналогичным образом: ZIP-архив содержал JScript-файл, который при запуске через wscript.exe извлекал полезную нагрузку из собственного тела и разворачивал ее на устройстве жертвы без обращения к внешней инфраструктуре.
Документы-приманки. Архивы 2024 года содержали документы, имитирующие коммерческие запросы цены и предложения от российских юридических лиц, файлы именовались по шаблону «[Тип запроса] от [полное наименование] на [месяц год]. [НомерЗаявки].js».
К 2026 году название упростилось до «Заявка на закупку от компании ООО [НАЗВАНИЕ] на [месяц год]», однако целевая аудитория – сотрудники снабжения и закупок – осталась неизменной.
Конечная полезная нагрузка. Целевым инструментом в обоих случаях выступает NetSupportRAT, развертываемый в пользовательском каталоге со скрытой конфигурацией client32.ini.
Таким образом, JScript-вариант доставки применялся группировкой как минимум с 2024 года.
Заключение
Новая активность NetMedved показывает, что операторы продолжают развивать способы доставки вредоносного ПО, сохраняя при этом основную полезную нагрузку в виде NetSupport Manager, используемого как RAT. Несмотря на полную смену инфраструктуры, кампания сохраняет устойчивые признаки: тот же инструмент (сборка NetSupportRAT 2017 года), неизменный шаблон именования приманок, парная схема gateway в конфигурации client32.ini и совпадающее значение SecurityKey2 в обоих вариантах доставки.
В новой кампании заметны следующие изменения:
Собственный redirect-сервис. Группировка использует контролируемый домен crop[.]sh в качестве промежуточного redirector-слоя. Это позволяет менять конечную инфраструктуру доставки без модификации первичного LNK-файла: то есть уже разосланные вредоносные файлы продолжают работать после ротации серверов.
Многоуровневое AES-шифрование с помощью полезной нагрузки. Сервер доставки возвращает PowerShell-код с AES-128-CBC зашифрованным blob внутри.
ZIP/JScript-вариант. Новый вектор не обращается к внешней инфраструктуре: все компоненты зашиты в тело скрипта. Это делает JS-вариант невидимым для сетевой детекции при первичном заражении и снижает зависимость от доступности серверов в момент выполнения.
Инфраструктурная кластеризация. Все домены C2 зарегистрированы в один день – 27.04.2026. Это на месяц раньше начала кампании (конец мая – начало июня), но такая подготовка инфраструктуры обычная практика. Домены imhfamily[.]com и stillpaving[.]com принадлежат одному ASN (58329), домены sunlightfriends[.]tech и fleepsterones[.]fun разрешаются в один IP-адрес (144.172.116.63). Такая кластеризация позволяет атрибутировать новые домены по инфраструктурным пересечениям даже при отсутствии совпадений по коду.
MITRE ATT&CK
ID | Название | Тактика | Описание |
T1566.001 | Phishing: Spearphishing Attachment | Initial Access | NetMedved рассылали ZIP-архивы с LNK- и JS-вложениями, замаскированными под деловые запросы от российских компаний. |
T1204.002 | User Execution: Malicious File | Execution | NetMedved ожидают что жертва самостоятельно запустит вредоносный LNK- или JS-файл. |
T1059.001 | PowerShell | Execution | NetMedved скрытно запускали PowerShell с параметром - |
T1059.007 | JavaScript/JScript | Execution | NetMedved исполняли .js-файл через wscript.exe (JScript-вариант). |
T1219 | Remote Access Software | Command and Control | NetMedved использовали NetSupportRAT для получения полного удаленного доступа к зараженной системе. |
T1027 | Obfuscated Files or Information | Defense Evasion | NetMedved применяли обфускацию: Base64 в LNK-файле, Base64-blob с AES-CBC в Stage 2 и полезной нагрузкой в теле JS-файла. |
T1140 | Deobfuscate/Decode Files | Defense Evasion | NetMedved реализовали декодирование Base64 и AES-CBC-расшифровку в Stage 2, а также обработку bin.Base64 в JScript-варианте. |
T1036 | Masquerading | Defense Evasion | NetMedved маскировали вредоносные компоненты под легитимные объекты: LNK-файл использовал иконку Notepad, каталоги назывались DisplayMenu и Stereo, а бинарные файлы — displayport.exe и audio.exe. |
T1105 | Ingress Tool Transfer | Command and Control | NetMedved загружали ZIP с NetSupportRAT через crop[.]sh → sunlightfriends[.]tech (LNK-вариант). |
T1102 | Web Service | Command and Control | NetMedved использовали crop[.]sh как redirector, а Яндекс.Диск — для хостинга файлов-приманок. |
T1547.001 | Registry Run Keys | Persistence | NetMedved создавали ключи реестра HKCU\Run\DisplayMenu и HKCU\Run\Stereo для автозапуска RAT. |
T1053.005 | Scheduled Task | Persistence | NetMedved создавали крытую задачу планировщика Windows (Hidden=True) JScript-вариант. |
T1497.003 | Time Based Evasion | Defense Evasion | NetMedved использовали WScript.Sleep (60000), задержка на 60 секунд в JScript-варианте. |
T1012 | Query Registry | Discovery | NetMedved обращались к реестру при инициализации компонентов NetSupportRAT. |
T1082 | System Information Discovery | Discovery | NetMedved собирали сведения о системе жертвы. |
T1047 | WMI | Execution | NetMedved получали имя пользователя через WMI в JScript-варианте цепочки. |
T1071.001 | Application Layer Protocol: Web | Command and Control | NetMedved использовали HTTP/HTTPS для обмена командами с C2-инфраструктурой NetSupportRAT. |
T1571 | Non-Standard Port | Command and Control | NetMedved использовали порты C2 NetSupportRAT: 1414/TCP в LNK-варианте и 1411/TCP в JScript-варианте. |
Индикаторы компрометации
Сетевые индикаторы
Домен | IP | ASN | Дата регистрации | Описание |
crop[.]sh | 104.21.60.89 172.67.195.1 | 13335 | 21.10.2025 | redirect-домен |
sunlightfriends[.]tech | 144.172.116.63 | 14956 | 25.05.2026 | сервер доставки |
fleepsterones[.]fun | 144.172.116.63 | 14956 | 27.04.2026 | сервер доставки |
imhfamily[.]com | 185.158.249.83 | 58329 | 27.04.2026 | C2 NetSupportRAT |
akiliridge[.]com | - | - | 27.04.2026 | C2 NetSupportRAT |
stillpaving[.]com | 79.132.128.202 | 58329 | 27.04.2026 | C2 NetSupportRAT |
glowstickspro[.]com | - | - | 27.04.2026 | C2 NetSupportRAT |
Файловые индикаторы
Название файла | MD5 | SHA1 | SHA256 |
ZIP-архивы | |||
56cc6b8260c676dca2ee4e4ef4785373 | c8d51044d37f247937616adb489836c62b25b599 | 38d96dd1c26a7a98c8b55c925863d0f5c8c099a73192c65e3a1e47ea636d3d29 | |
da95797a9bcfe8ee9500077636f0835a | 2e7b753186817a85961cdefb47bdf5436515b694 | 0c2947904711ef63ac3cc24ba2e7a059e318dc219d14eeaebb6b46fd277f7f3d | |
0db3fabb4049a896b831e41a364d6def | 78bd86da8f36d3c9d3cdf249de50abfdba9b6e1c | e345117ccd1adf3815a2e8877a1021ee8686bea0993eb59eca87660e4f9112fe | |
4c0564f1e34a6161313547c4caefce55 | 7f97e8aabe44f25d952603674651bbf5735ecd6b | 312862333715ab97e568d581cfdd1f4a1b5036922021ff74f7b67a38ec0901b8 | |
LNK-файлы | |||
Заявка на закупку от компании ООО [REDACTED] на июнь 2026г.lnk | 5c56fd9d306a62642cfe6c6b3989efdd | fbdb66de614bd41a1d68f3fa0abc85fb092b28bc | c5a1dee1ae7f0a04dfa91481d0c1d5ad5c887a77e657def8878af600a98fd8c6 |
Заявка на закупку от компании ООО [REDACTED] на июнь 2026г.lnk | 174a44b2a1511e7ebf64525beffd0f9f | 0c964a304edaa8d5d5c58486f4fea4bebe4de36b | 20c8fd700796b80ea093e23ec812943adfc63c3b8653bb09b581fd7f4127c652 |
JS-файлы | |||
Заявка на закупку от компании ООО [REDACTED]на май 2026г_105.js | 8d7d45534bdfefedb6bd7c3214eb3c5b | ce69cdeac9c1ca625859134414323c93bef5c728 | d1e4c6578b588e95d8ed03b46f2febc0ce2d5a8a8b612cafe640b6e23ba637d7 |
Заявка на закупку от компании ООО [REDACTED] на май 2026г_3.js | 54ad73dda690f63470cff1c0c60195d4 | c436bc363ccb5fb3b96950ae23c766c4aa468b0a | df1bb5c2aac6220ca59bed32b53e02836ff53b6d732bd4a91c5252d507748d03 |
PowerShell-файлы | |||
portal | f49185941e3785c805664a4ce9871651 | a1e9c5624536522c6c5bb1f359664eb5effdbdc6 | fdcbef12799d7c49dcc15746cc87720c608e1e246eac08772cbb43c6f8ab54c8 |
file.ps1 | b67aa8823328b895cd793c3c40a6c447 | ca57e0dc19d0b516705f8bde6d02c17057f23dfa | bef3add1e3ba37827908e06c0e064613ce271b02d929a5d9a769c6a6700097c9 |
Docx-документы | |||
Карточка_предприятия.docx | 04a99c1cdcc0c9aa0c63c20d89f9b00f | bed70a8b4b8ee1a45f54d6b62efe387cd6812b54 | 4972b6583645d28600f076e73def05890b54a9d98c8b328d61f421c79a021db6 |
Реквизиты [REDACTED].doc | 06e85fc3718ececcdd3766e7fee93a7f | c487904befab8721644a02d16da26aa7f79ba666 | 9988c051016bafe3dcbe0ee4bebba6fe229cf6e6b6022197b47bb9bfc8388e25 |
Денис Казаков
Специалист группы киберразведки TI-департамента экспертного центра безопасности, Positive Technologies
