В октябре 2025 года наша команда киберразведки департамента Threat Intelligence зафиксировала продолжающуюся фишинговую активность хакерской группировки, которую мы назвали NetMedved. Обоснование выбора данного наименования будет рассмотрено в заключительной части статьи. Атаки хакеров ориентированы на российские организации; в качестве конечной полезной нагрузки используется вредоносная версия легитимного инструмента удалённого администрирования NetSupport Manager (далее — NetSupportRAT). В этой статье расскажем о специфике кампании и связи с нашими предыдущими находками.
Первые фишинговые рассылки фиксировались нами в середине октября 2025 года. К этой дате относится использование ресурса cdn-reserved[.]com. Жертвам рассылаются архивы (Рисунок 1), содержащие набор документов-приманок (Рисунок 2), имитирующих документооборот российских компаний: карточки контрагента, приказы о назначении, свидетельства о постановке на учёт и другие формально оформленные файлы, визуально и по содержанию близкие к реальным материалам бухгалтерии, тендерных отделов и служб снабжения. Внутри таких архивов рядом с приманочными документами размещается замаскированный вредоносный LNK-файл, оформленный под очередной документ или сопроводительный файл.
Вредоносный LNK-файл на системе жертвы запускает PowerShell в скрытом режиме с командой из тела LNK.
В начале команды вставлена последовательность из наборов букв, визуально похожих на слова.
Подгружается сборка System.Windows.Forms для последующих проверок окружения.
Выполняются антианализ-проверки:
По процессам: поиск работающих инструментов отладки/мониторинга (Procmon/Procmon64, Process Hacker, x64dbg/x32dbg, Wireshark, Fiddler, IDA).
По аппаратным признакам: выход при количестве логических процессов < 2 или разрешении экрана ниже порогов (ширина < 800, высота < 600).
Отдельно следует отметить, что перенос развернутой антианализ-логики непосредственно в командную строку LNK-файла представляет собой характерную особенность.
В типичных фишинговых сценариях LNK ограничивается командой запуска PowerShell или другого интерпретатора без сложных проверок окружения.
При успешном прохождении антиотладочных проверок LNK-файл инициирует загрузку и выполнение PowerShell-сценария, который создаёт рабочий каталог в LocalAppData, скачивает с задействованного домена ZIP-архив, замаскированный под PDF-документ, и распаковывает его штатными средствами Windows. Далее из распакованного каталога запускается документ-приманка и параллельно исполняется NetSupportRAT, после чего в планировщике Windows создаётся задача с автозапуском этого модуля при входе пользователя в систему, что обеспечивает закрепление вредоносного ПО в системе.
Состав такого архива помимо NetSupportRAT и документа-приманки включает исполняемый набор необходимых библиотек для корректной работы ВПО и конфигурационный файл client32.ini, в котором жёстко заданы домены, используемые в качестве серверов управления и точек подключения клиента. Характерной деталью является то, что используемая в кампании сборка NetSupportRAT по метаданным датируется 2017 годом и не является новой разработкой: аналогичные бинарные экземпляры ранее уже фигурировали в ряде операций, а в 2023 году исследователи VMware отдельно описывали кампанию с применением той же сборки NetSupportRAT.
К концу октября и началу ноября 2025 года атаки расширилась за счёт использования домена metrics-strange[.]com и структурно повторяли общую схему:
Рассылка первичного архива с документами приманками и вредоносного LNK-файла.
Распаковка архива и последующий запуск LNK-файла жертвой.
Скачивание следующего стейджа в виде Powershell-скрипта с его последующим запуском.
Скачивание архива, замаскированного под pdf-файл, его последующая распаковка, запуск NetSupportRAT, документа-приманки и закрепление через планировщик задач.
Установление соединения с С2 NetSupportRAT.
Одновременно с этим в первых числах ноября операторы ВПО модифицировали цепочку отказавшись от PowerShell-скрипта. Первичная нагрузка оставалась прежней – архив с документами-приманками и вредоносным LNK-файлом.
Теперь же LNK-файл работает иначе и демонстрирует ещё один характерный приём этой кампании. В LNK также присутствует длинная последовательность символов, однако вместо скачивания PowerShell-скрипта запускается командная строка Windows, в которой выполняется запрос finger к узлу api.metrics-strange[.]com. Ключевой приём заключается в том, что вывод этого запроса целиком перенаправляется в cmd для немедленного исполнения, в результате чего код второй стадии доставляется не из локального файла и не из явно загружаемого скрипта, а динамически подгружается с удалённого сервера через протокол finger и воспринимается оболочкой как обычный пакет команд.
Изначально finger предназначен для запроса базовой информации о пользователях на удалённых Unix-системах (логин, каталог, статус, поле Plan) и сейчас практически не используется в легитимной инфраструктуре. На большинстве корпоративных сетей он либо не задействован, либо включён по умолчанию. Атаки с применением finger встречаются значительно реже по сравнению с классическими каналами доставки через HTTP(S), PowerShell, Office-макросы или архивы, и чаще носят экспериментальный или единичный характер.
Вывод команды finger:
Внутри кода реализуется проверка на наличие процессов, связанных с отладкой и анализом, а также фильтрация по числу процессоров, что позволяет отсечь часть исследовательских и виртуальных сред. При успешном прохождении этих проверок создаётся случайный путь в LocalAppData, с помощью where находится легитимная утилита curl, её копия сохраняется под случайным именем и используется для загрузки zip-архива с домена metrics-strange[.]com, замаскированного под PDF. Затем создаётся каталог, содержимое архива распаковывается встроенной утилитой tar, пользователю открывается документ-приманка, а параллельно через rundll32 запускается NetSupportRAT. В завершение при помощи PowerShell создаётся задача планировщика с автозапуском Fosters при входе пользователя в систему, что обеспечивает закрепление.
Дополнительного внимания заслуживает формат комментариев в теле возвращаемого через finger сценария. Строки, начинающиеся с :: и содержащие последовательности вида ╨M-^_╤M-^@..., представляют собой характерный артефакт повреждённой кириллической кодировки. При восстановлении текста получаем следующий код:
Исходный текст | Декодированный текст |
╨M-^_╤M-^@╨╛╨▓╨╡╤M-^@╤M-^O╨╡╨╝ ╨╖╨░╨┐╤M-^@╨╡╤M-^I╤M-^Q╨╜╨╜╤M-^K╨╡ ╨┐╤M-^@╨╛╤M-^F╨╡╤M-^A╤M-^A╤M-^K | Проверяем запрещённые процессы |
╨M-^_╤M-^@╨╛╨▓╨╡╤M-^@╤M-^O╨╡╨╝ ╨║╨╛╨╗╨╕╤M-^G╨╡╤M-^A╤M-^B╨▓╨╛ ╨╗╨╛╨│╨╕╤M-^G╨╡╤M-^A╨║╨╕╤M-^E ╨┐╤M-^@╨╛╤M-^F╨╡╤M-^A╤M-^A╨╛╤M-^@╨╛╨▓ | Проверяем количество логических процессоров |
╨M-^R╤M-^A╨╡ ╨┐╤M-^@╨╛╨▓╨╡╤M-^@╨║╨╕ ╨┐╤M-^@╨╛╨╣╨┤╨╡╨╜╤M-^K тM-^@M-^T ╨╖╨░╨┐╤M-^C╤M-^A╨║╨░╨╡╨╝ | Все проверки пройдены — запускаем |
Для восстановления исходного текста можно использовать следующий подход: последовательности вида M-^X трактуются как управляющие символы с установленным старшим битом, преобразуемые в соответствующие байты (0x80 + код символа), все остальные символы интерпретируются как байты в кодировке cp866, после чего полученный байтовый набор декодируется как UTF-8. Такой алгоритм позволяет вернуть исходные кириллические комментарии, исказившиеся при некорректной обработке кодировок.
На уровне инфраструктуры прослеживается разделение ролей: отдельные домены используются для доставки вредоносного содержимого и псевдо-PDF-архивов, а набор других доменов задействуется в качестве C2 для NetSupportRAT через конфигурационный файл client32.ini.
Анализ client32.ini, входящих в состав всех обнаруженных архивов и каталогов с NetSupportRAT, позволяет выделить набор доменов, задействованных в качестве серверов управления.
Таблица 1. Командные сервера управления NetSupportRAT
Домен | ip | asn | провайдер | Описание | Дата регистрации |
tvfilia.com | 31.214.157.85 | 58329 | servinga GmbH | GatewayAddress | 11.05.2025 |
bspaco.com | - | - | - | SecondaryGateway | 12.05.2025 |
skillswar.com | 185.158.249.54 | 58329 | servinga GmbH | GatewayAddress | 11.05.2025 |
pauldv.com | - | - | - | SecondaryGateway | 12.05.2025 |
abxweb.com | 185.158.249.64 | 58329 | servinga GmbH | GatewayAddress | 03.11.2024 |
pdfbypari.com | 80.66.76.115 | 213010 | Nethost-net | SecondaryGateway | 03.11.2024 |
nbmovies.net | 65.109.65.153 | 24940 | Hetzner Online GmbH | SecondaryGateway | 19.11.2024 |
nicevn.net | 31.214.157.214 | 58329 | servinga GmbH | GatewayAddress | 19.11.2024 |
Для размещения архивов с полезной нагрузкой и Powershell-скриптов, а также fingerd-сервиса использовались следующие сервера.
Таблица 2. Сервера распространения Powershell-скриптов и архивов с NetSupportRAT
Домен | ip | asn | провайдер | Дата регистрации |
cdn-reserved.com | 104.21.67.63 | 13335 | CloudFlare | 10.10.2025 |
metrics-strange.com | 104.21.40.161 | 13335 | CloudFlare | 29.10.2025 |
api.metrics-strange.com | 144.124.234.163 | 216071 | Servers Tech Fzco | 29.10.2025 |
x-projectlys.com | 104.21.85.42 | 13335 | CloudFlare | 10.11.2025 |
sara.x-projectlys.com | 144.124.233.138 | 216071 | Servers Tech Fzco | 10.11.2025 |
Во всех случаях используется одна и та же сборка Fosters.exe (NetSupportRAT), меняются только параметры подключения. Наборы доменов организованы парами в целях резервирования каналов связи.
При ретроспективном анализе связей между файлами конфигурации NetSupport RAT и архивами, в составе которых они распространялись, нами была выявлена фишинговая активность, датируемая серединой августа — началом сентября текущего года и атрибутируемая данной хакерской группировке. В рамках этой кампании вредоносное ПО распространялось с домена real-fishburger[.]com.
Помимо вышеупомянутой цепочки с LNK-файлом и PowerShell-скриптом (рис. 7), операторы ВПО также распространяли вредоносные HTA-файлы. При их запуске реализовывалась следующая логика:
Декодирование и отображение приманки.
Из тела HTA-файла декодировался встроенный в Base64 PDF-документ, который сохранялся во временную директорию и открывался штатной программой для просмотра PDF-файлов. Документ использовался в качестве отвлекающей приманки для создания видимости легитимной активности.
Развёртывание NetSupport RAT.
Параллельно из того же HTA-файла декодировалось встроенное в Base64 вредоносное ПО NetSupport RAT, после чего его компоненты сохранялись на диск под именем uclient.exe.
Закрепление в системе.
Для обеспечения устойчивости в системе создавался ярлык uclient.lnk в папке автоза��рузки пользователя (Startup), указывающий на uclient.exe. Это гарантировало автоматический запуск NetSupport RAT при каждом входе пользователя в систему.
Сопоставление этой кампании с ранее зафиксированными атаками с применением Lumma Stealer и NetSupportRAT выявляет инфраструктурное пересечение. В начале декабря 2024 года мы описали вредоносную кампанию, в рамках которой использовался GitHub-репозиторий NonaDoc/Nonadoc для распространения документов-приманок и вредоносного ПО, включая Lumma Stealer и NetSupport RAT. В тех эпизодах источниками заражения выступали LNK-файлы, маскирующиеся под документы российских организаций, а домены abxweb[.]com и pdfbypari[.]com использовались злоумышленниками в качестве серверов доставки и управления NetSupportRAT.
В текущей кампании 2025 года домены abxweb[.]com и pdfbypari[.]com вновь появляются, но теперь уже явно зашиваются в конфигурационные ini-файлы для NetSupportRAT, распространяемого через новую cетевую инфраструктуру. Переход от GitHub-репозитория к собственным доменам доставки и отказ от использования Lumma Stealer не выглядит сменой акторов, а скорее эволюцией тактики после публичного освещения предыдущих эпизодов.
Учитывая использование одних и тех же доменов в обеих кампаниях, повторное применение NetSupportRAT в роли основного инструмента удалённого доступа, схожие приёмы социальной инженерии с LNK-файлами и архивами с документами-приманками, а также лингвистические паттерны, такие как учётная запись GitHub под именем prevedmedved6724993, отсылающая к русскоязычному мему, и кириллические комментарии в коде, возвращаемом по протоколу finger, можно предположить, что наблюдаемая кампания 2025 года и зафиксированная активность 2024 года относятся к одной и той же хакерской группировке, последовательно развивающей и переиспользующей собственную инфраструктуру и TTP. На основе указанных выше пересечений этот кластер обозначен нами как TA NetMedved: компонент Net отражает использование NetSupportRAT, а Medved — отсылку к учётной записи prevedmedved6724993 как характерному лингвистическому маркеру инфраструктуры злоумышленников.
Индикаторы компрометации
Сетевые индикаторы
Домен | ip | asn | провайдер | Описание | Дата регистрации |
tvfilia.com | 31.214.157.85 | 58329 | servinga GmbH | GatewayAddress | 11.05.2025 |
bspaco.com | - | - | - | SecondaryGateway | 12.05.2025 |
skillswar.com | 185.158.249.54 | 58329 | servinga GmbH | GatewayAddress | 11.05.2025 |
pauldv.com | - | - | - | SecondaryGateway | 12.05.2025 |
abxweb.com | 185.158.249.64 | 58329 | servinga GmbH | GatewayAddress | 03.11.2024 |
pdfbypari.com | 80.66.76.115 | 213010 | Nethost-net | SecondaryGateway | 03.11.2024 |
nbmovies.net | 65.109.65.153 | 24940 | Hetzner Online GmbH | SecondaryGateway | 19.11.2024 |
nicevn.net | 31.214.157.214 | 58329 | servinga GmbH | GatewayAddress | 19.11.2024 |
cdn-reserved.com | 104.21.67.63 | 13335 | CloudFlare |
| 10.10.2025 |
metrics-strange.com | 104.21.40.161 | 13335 | CloudFlare |
| 29.10.2025 |
api.metrics-strange.com | 144.124.234.163 | 216071 | VDSINA SERVERS TECH FZCO |
| - |
x-projectlys.com | 104.21.85.42 | 13335 | CloudFlare |
| 10.11.2025 |
sara.x-projectlys.com | 144.124.233.138 | 216071 | Servers Tech Fzco |
| 10.11.2025 |
real-fishburger.com | 172.67.223.25 | 13335 | CloudFlare |
| 17.09.2025 |
Файловые индикаторы
Название файла | MD5 | SHA1 | SHA256 |
ZIP архивы | |||
zip-архив без названия | 8136af34863b2eba580aa022bf0ca912 | b19532b2b8d684d3adb7204046a60ab58b64b993 | 3983a383b532c32dfbab8958ad1b35fc8cb3fc3141b5016dd01fcfbfd3c0cd3b |
Fils.pdf (zip) | f2547fd021e9af337f22537cfffa8b12 | 2d07e5f0c97a5150f80130e3d05deb3dd2440c2e | 05464b16c6ea40cd93d39b7c0a20c136be2b7921818aa5041b7b98a7cbbf270f |
Divtos.pdf (zip) | 01264394800dd0ded80b873d339aaebf | d2f5d23bd424fd552b96432f097c94a8388b94ea | b302c16d60f055ec37833e45b091f20b6eae3248be74f389094e69d20f496a7b |
Divtos.pdf (zip) | b43fc607fabdee781ca6877a04a97f2d | 586edeac5a77f604016b6921369c8816bed3659e | 2fdabce92c1915556f2e4d5cfdf34f18147d1e09c454c3758a4dcf31431e1e62 |
Noretyu.pdf (zip) | b45f2ae24457d9a3cc44f4c6c183211c | 4ca145a304aa5b2706da90e4d2ed493e986e28d3 | 7573e2a6a6a4a5c21bc3f81a53262e3ade3871fd00ab06b9cf9f9a28c45926f2 |
Horitos.pdf (zip) | a3f88b1b992f9c4a56e07fd59dd394af | 1c7bf6e246b211e42f22d6d9e74d3f33dc83d835 | 4fed61b2f93f4ef51777ac2f381a89e564c8ddf941ecef9f3f7f1e9c370ff0a3 |
Pyost.pdf (zip) | 8d4ac3cb056d331ca382d1b1b6dae3a4 | 5363f611e91e2a1433cb9502365ae47708adec29 | 007ec4eadad16fed2361486bbd79ce8491db3aeae615fef9069e274609233e2f |
zip-архив без названия | 20ddd51ca6febc3ddf10a93230aa569f | 6c51276cc02b6e10f0c18f2459f121e44f8cea3f | cc6219c710d5bd0ee986b479723ab4f42027da0f28a49fad66d9f3280774e654 |
Hloe2.pdf(zip) | 410879d8562a64d5cd7034bbff462655 | 9bfcad0f12ee36fa7a15de5e52b5fe416c7f9db6 | d3aea6e94151bcbb8ac451c50a3a6a5693162521b7d61c53e57c91e4c91c1eb4 |
zip-архив без названия | e1649ded8b6f6b591ec903387a9de93e | a3f420516b31e3ab5a49ebcc7026f6f47fcaa44e | 0c61883da958fb23e03eac577b169d5e7535910b5a12916fe6d2a94f6b40a89e |
zip-архив без названия | 31c60c6eca6b9d7349a85ceb0cba3d8b | a34a796d8d342f2d54d5db601522dbe4b96a81ec | 0c166f4c7475ec6d15ac00b9b7bc9cf0d7bb53eb504e14f153af08dfe05c40e2 |
PS1 файлы | |||
c626b76039054fe7899.ps1 | d0f7cdde46cd23cb01d70c88b92e7080 | 111c9272b9d0ca9836fcef79fc7a502117764308 | 7ffc177f931c6df8542cc87c9da95d3f3a51b587c237253b6091e83451d7c3a2 |
44bff594214446.ps1 | 81e4ee273f7d4eaaba6ec1c31088d59f | 3aff248f75a54b6e8f14b07c35cc4e5d19b43fb3 | aa666ff1e5276677b9995f86399743aaad38a6b70b53a124062aa69c798760b6 |
Foto.pic | 7dbb2d7f7fb06c12739b719d9653c57b | 4c70f17b2e9a7e223b30b5c00d5512a157738b7d | 51012e5e9ee205efe5025e0a83cce90dca5719268229c91b6777060c1b4578d0 |
LNK файлы | |||
Запрос на закупку от ООО «ДС-ГРУПП» на ноябрь 2025_658750.lnk | 63a769becb77120637e242b5a3e41649 | 4de3b3a50ee9169f8826f98167c0c3697538bfa8 | dddfc3c5ca754144b430df11a78a048609106f9d12db4b1fec309bb9805743ec |
Запрос на закупку от ООО «ДС-ГРУПП» на ноябрь 2025_566291.lnk | 25f5b04a7cb54ae588235cf7cf3a89f4 | d3b726039aead4cac409a9e4257027036469f8e3 | 5b83e99dfeeb8c30dc72059d369bff0109c40cb5d9aea63245d90a1ca4a36232 |
1.exe.lnk | 0b314bd55b9a3e318e3c207e597f3e5f | e148be1c9148c0542475237b78d40face8252ee2 | 340f085668d115b4f0ae586b26ecc3cc5a977449989221e02a13b09decbf9bb9 |
Запрос на закупку от ООО МСК МОНОЛИТ-ЮГРА на ноябрь 2025_448157.lnk | 002bca1bb5ccc22049aa918aafc174a7 | c157e587545ba74980026bd082301e23cc2c002f | a55733d4055fe83817b865638b71690fe8f32de77eec04498171fd7e1cb3eb67 |
без названия | ba454a50b727cd724066ce2cfd575b9d | 5a401eefb9c3234841f2f9060745ebac61eade33 | 44e29f1e03d3ff663058338363f144326b1e83a63a43caea86e313c3b8bf98a6 |
DOC/DOCX документы | |||
КАРТОЧКА ДС-ГРУПП ТОЧКА.docx | 192c0538c375d9c5064a39f07e5b3744 | a09a56aa6285884082a3eaca89a93ca438f19468 | 25a7dc3f0f16a6f1e69db6e80143f2a8788c5542246966c081a06bf9767264fe |
Карточка ООО МСК МОНОЛИТ-ЮГРА.doc | 7cec93c66b8fce48eb393c176936d146 | 251a012f8489db93e280c46c59bd341b76b58136 | 8de51b085e9ae644099bebe8e95ec1d5dbe2b854b4d20d8f33c9160458f6c413 |
PDF файлы | |||
Приказ о назначении.pdf | 807cf9936885bbc4ee06e4ece0392cd1 | bd1de96110ee8770df1ebfd4420ddb8ed5869e33 | 4546d8fa49836ae06af4df56fca03905afd4d7df60d171cc2c959be03d1d94b2 |
Св-во о постановке на учет.pdf | 3ffdae649a03c010e8d2297311634ac3 | 681ae1f5dcbafd30167b8b158b0c937a2a3f6023 | bf0df57d9dac2aafd89f30d818749d3ce15afe488dcdad912e8996bfd3d0b3c1 |
Docs.pdf\Backs.pdf | 8ca3640f4dedf5caa352efb72a19914a | d1d41e0701fa58d3c4113634260f93f7e7c46836 | 98a693f412da7b5e5fa790ab54e1c4737ce628ddaedda6cb2359214ec17c11a8 |
Zapros.pdf | fc53d4925a9e5f0a2d84bb7185da1874 | 890766ecce25a487864f71a71c519a9c4fc68dbb | a4cf4c55312222dfa5c9e08034377a2efaae3b94213c1283c3e2145d2677c3d3 |
2_FLYGT.pdf | f9b64f0da33c475658ea206a484d236f | 277a95d0095bb39ab7ea4d8c9b3077010d2ee511 | 59f3acf7a2099899807685c631d8a64af0e784a046a48f45ba2cc40d2e785444 |
DOC Document.pdf | 1b8fef7767370b985214470cf4e56a24 | fec85d048c284db87859ade0d68734683fe1352b | b69c5134a453d19ddf94967c49dd9ecb825ae2461d491f67d09fb5bda5dd27be |
Свидетельство ОГРН, ИНН, КПП.pdf | 7cb00849d03ffa13ab9e5b077e161608 | 1e842b5aa270657aedeced10e105432508997532 | cb2c2f492fd44afa9279ee8d4a8a6e8ca11ab65a9224a18da9ba8b0d8f6bec14 |
Zayavka.pdf | 01a43d17f909792addcc004bdd513963 | c30516b6a3894821d6a472f9ec18ae526857c260 | 2e851fcc4eb8e60f350ce68b686cc1ce3c4a0370c28a230a0f3468358907c075 |
INI конфиги | |||
client32.ini | 84677cb94f1772c22d9d82114a4a4038 | e44b913a1694a61705344ce406f77301defd8ec5 | 1027cd7578146cafe39eacf1ed6d2048aa12fc6936d2594d49eb093c56b2d840 |
client32.ini | 435e3d7ab7f4939a00332f823a923c8f | cc404afb2d49861bfacfa25b8aa07c68c69d4ff6 | ea3d66b8e53cf2475ef89c94d917529360325f3464727a54a3be2aa2ffde0e2b |
client32.ini | 219a47f8a1820d131fa90f0e15230197 | 72a65f4684fd413858b8791a697fad6051fb6ec2 | a68b10d3a36423d44d36274dc995a5f11bfb1dd5bba6de81071e9ced8dc780f3 |
client32.ini | 8944560ed965974f843fc984e417457e | 8a27e37499c26e1e465375ecd1bfb3f0ae9bf8db | 76d3a58f3fb14e1d8435eabaac21c84f9d256bcd241da3da44b70c4a606134fd |
HTA-файлы | |||
Заявка на закупку от компании ООО Антарктида на август 2025_16.hta | 7c747a3bae1b6093273fb59be92947c8 | 8fb720d4eabe22820b2affd76a56495feb297422 | e34552a5338872919b3e0f15efc9c27641479750ca2a43ac7cc5c9b15f15ad20 |
Заявка на закупку от компании ООО ЮМет на август 2025_11.hta | 8c021c5d85f635286c0c4878ae3dfacc | f1d4d04186a3262d455c40e2d8377d6646a03dee | 23eb791345d1a125c2c5988fb7a8001824a328a248f0c7588973b045b50bea69 |
hta-файл без названия | aefa1b33765e08e264b5d2d15f3f260e | 7cc19bef3359350561896c08a021757f7df3d6f1 | 0f430f2772119b62d32b7812b44726f7d1f3ffc9f9f9ca86b7a0a0c8b314215d |
Матрица Mitre
ID | Название | Описание |
Resource Development | ||
T1583.001 | Acquire Infrastructure: Domains | NetMedved регистрировали и использовали домены metrics-strange[.]com, cdn-reserved[.]com, abxweb[.]com, pdfbypari[.]com, skillswar[.]com, pauldv[.]com, tvfilia[.]com, bspaco[.]com, nbmovies[.]net, nicevn[.]net для доставки стадий и C2. |
T1583.003 | Acquire Infrastructure: Virtual Private Server | NetMedved арендовали и конфигурировали VPS для размещения fingerd-сервиса, хостинга псевдо-PDF-архивов и обслуживания C2. |
T1608.001 | Stage Capabilities: Upload Malware | NetMedved размещали на собственной инфраструктуре ZIP-архивы под видом PDF, скрипты и исполняемые файлы. |
T1588.001 | Obtain Capabilities: Malware | NetMedved использовали NetSupport RAT в своих атаках. |
Initial Access | ||
T1566.001 | Phishing: Spearphishing Attachment | NetMedved рассылали ZIP-архивы с документами-приманками и LNK-файлами, оформленных под деловую переписку российских компаний. |
T1204.002 | User Execution: Malicious File | Ручной запускали жертвой LNK-файлов, замаскированных под документы, инициирует выполнение вредоносной цепочки. |
Execution | ||
T1059.001 | Command and Scripting Interpreter: PowerShell | NetMedved использовали скрытый запуск PowerShell из LNK с обходом ExecutionPolicy для загрузки и исполнения скриптов второй стадии. |
T1059.003 | Command and Scripting Interpreter: Windows Command Shell | NetMedved использовали cmd.exe совместно с конструкцией finger ... | cmd для немедленного исполнения кода с удалённого сервера. |
T1202 | Indirect Command Execution | NetMedved доставляли batch-кода через вывод finger и его немедленное выполнение через командную оболочку. |
T1219 | Remote Access Tools | NetMedved использовали NetSupportRAT |
Persistence
| ||
T1053.005 | Scheduled Task/Job: Scheduled Task | NetMedved создавали задачи планировщика Windows с автозапуском Fosters.exe (NetSupportRAT) при входе пользователя. |
Defense Evasion | ||
T1036 | Masquerading | NetMedved маскировали LNK-файлы под документы, ZIP-архивы под PDF. |
T1497.001 | Virtualization/Sandbox Evasion: System Checks | NetMedved осуществляли проверку процессов анализа, числа логических процессоров и разрешения экрана для выявления песочниц. |
T1218 | Signed Binary Proxy Execution | NetMedved использовали доверенные системные утилиты (rundll32) для вредоносной активности. |
T1105 | Ingress Tool Transfer | NetMedved загружали псевдо-PDF-архивы и скрипты с контролируемых доменов вместо прямой доставки payload во вложениях. |
T1140 | Deobfuscate/Decode Files or Information | NetMedved распаковывали и извлекли полезную нагрузку из замаскированных архивов скриптами второй стадии. |
Command and Control
| ||
T1071.001 | Application Layer Protocol: Web Protocols | NetMedved использовали HTTP/HTTPS для загрузки стадий и взаимодействия с C2. |
T1571 | Non-Standard Port | NetMedved использовали протокол finger на порту 79/tcp как нетипичного канала доставки вредоносного кода. |
Денис Казаков
Специалист группы киберразведки TI-департамента экспертного центра безопасности, Positive Technologies
