Nowa kampania phishingowa z ransomware i trojanem Amnesia RAT celuje w użytkowników w Rosji

Zaobserwowano nową, wieloetapową kampanię phishingową, która celuje w użytkowników w Rosji, wykorzystując ransomware oraz trojana zdalnego dostępu o nazwie Amnesia RAT. Według badaczki Fortinet FortiGuard Labs, Cary Lin, atak rozpoczyna się od intrygujących technik inżynierii społecznej, które są przesyłane za pośrednictwem dokumentów o tematyce biznesowej, udających zwyczajne i nieszkodliwe. „Dokumenty oraz towarzyszące skrypty działają jako wizualne rozproszenie, odciągając uwagę ofiar na fałszywe zadania lub komunikaty statusowe, podczas gdy złośliwa aktywność przebiega w tle,” zaznaczyła Lin w opublikowanej w tym tygodniu analizie technicznej.

Kampania ta wyróżnia się z kilku powodów. Po pierwsze, wykorzystuje wiele publicznych usług w chmurze do dystrybucji różnych rodzajów ładunków. GitHub służy głównie do przekazywania skryptów, podczas gdy ładunki binarne są umieszczane na Dropboxie. Takie rozdzielenie utrudnia działania mające na celu ich usunięcie, co efektywnie zwiększa odporność kampanii.

Funkcjonowanie kampanii definiowane jest także przez nadużycie narzędzia defendnot, które służy do dezaktywacji Microsoft Defendera. Defendnot został wprowadzony przez badacza bezpieczeństwa znanego pod pseudonimem es3n1n, jako sposób na oszukanie programu zabezpieczającego, aby uznał, że inny produkt antywirusowy został już zainstalowany na urządzeniu z systemem Windows.

Kampania wykorzystuje inżynierię społeczną do dystrybucji skompresowanych archiwów, które zawierają wiele zwodniczych dokumentów oraz złośliwy skrót Windows (.LNK) z nazwami plików w języku rosyjskim. Plik LNK stosuje podwójną końcówkę („Задание_для_бухгалтера_02отдела.txt.lnk”), aby wywołać wrażenie, że jest to plik tekstowy.

Po uruchomieniu, rozpoczyna on polecenie PowerShell, które pobiera kolejny skrypt PowerShell hostowany w repozytorium GitHub („github[.]com/Mafin111/MafinREP111”). Działa on jako loader pierwszego etapu, ustanawiając punkt zaczepienia, przygotowując system do ukrycia dowodów złośliwej działalności i przekazując kontrolę do kolejnych etapów.

„Skrypt najpierw tłumi widoczne wykonanie, programowo ukrywając okno konsoli PowerShell,” powiedziała firma Fortinet. „Usuwa to wszelkie natychmiastowe wizualne wskaźniki, że skrypt jest uruchamiany. Następnie generuje zwodniczy dokument tekstowy w lokalnym katalogu danych aplikacji użytkownika. Po zapisaniu na dysku, zwodniczy dokument automatycznie otwiera się.”

Gdy dokument jest wyświetlany ofierze, aby utrzymać iluzję, skrypt wysyła wiadomość do atakującego używając API Telegram Bot, informując operatora, że pierwszy etap został pomyślnie wykonany. Po wprowadzeniu celowego opóźnienia o długości 444 sekund, skrypt PowerShell uruchamia skrypt Visual Basic („SCRRC4ryuk.vbe”), hostowany w tym samym repozytorium.

To oferuje dwa kluczowe atuty, ponieważ utrzymuje loader lekki oraz pozwala na aktualizację lub wymianę funkcjonalności ładunku w locie, bez wprowadzania zmian w łańcuchu ataku. Skrypt Visual Basic jest silnie zniekształcony i działa jako kontroler, który zestawia ładunek kolejnego etapu bezpośrednio w pamięci, unikając pozostawiania jakichkolwiek artefaktów na dysku.

Ostateczny skrypt sprawdza, czy jest uruchamiany z podwyższonymi uprawnieniami, a jeśli nie, wielokrotnie wyświetla monit Kontroli konta użytkownika (UAC), aby wymusić na ofierze nadanie sobie niezbędnych uprawnień. Skrypt zatrzymuje się na 3000 milisekund między próbami.

W kolejnym etapie, złośliwe oprogramowanie inicjuje szereg działań w celu stłumienia widoczności, zneutralizowania mechanizmów ochrony punktów końcowych, przeprowadzenia rozpoznania, zablokowania mechanizmów odzyskiwania oraz ostatecznie wdrożenia głównych ładunków –

• Skonfigurowanie wykluczeń Microsoft Defendera, aby zapobiec skanowaniu ProgramData, Program Files, Pulpitu, Pobierania oraz systemowego katalogu tymczasowego.
• Wyłączenie dodatkowych komponentów ochrony Defendera za pomocą PowerShell.
• Wdrożenie defendnot, aby zarejestrować fałszywy produkt antywirusowy w interfejsie Centrum zabezpieczeń Windows i spowodować, że Microsoft Defender dezaktywuje się, aby uniknąć potencjalnych konfliktów.
• Przeprowadzenie rozpoznania środowiska i nadzoru za pomocą zrzutów ekranu przy użyciu dedykowanego modułu .NET, pobranego z repozytorium GitHub, który wykonuje zrzuty co 30 sekund, zapisując je jako obrazy PNG i wykradając dane przy użyciu bota Telegram.
• Dezaktywacja narzędzi administracyjnych i diagnostycznych systemu Windows poprzez manipulację politykami opartymi na Rejestrze.
• Wdrożenie mechanizmu zmiany skojarzeń plików, tak aby otwieranie plików z określonymi predefiniowanymi rozszerzeniami powodowało wyświetlenie wiadomości dla ofiary, instruującej ją o skontaktowaniu się z atakującym poprzez Telegram.

Jednym z ostatnich ładunków wdrażanych po pomyślnym rozbrojeniu zabezpieczeń oraz mechanizmów odzyskiwania jest Amnesia RAT („svchost.scr”), który jest pobierany z Dropbox i jest zdolny do szerokiego kradzieży danych oraz zdalnej kontroli. Zaprojektowano go z myślą o kradzieży informacji przechowywanych w przeglądarkach internetowych, portfelach kryptowalutowych, Discordzie, Steamie oraz Telegramie, a także metadanych systemu, zrzutów ekranu, obrazów z kamery internetowej, dźwięku z mikrofonu, schowka oraz tytułu aktywnego okna.

„RAT umożliwia pełną zdalną interakcję, w tym enumerację i zakończenie procesów, wykonanie poleceń powłoki, wdrażanie dowolnych ładunków oraz uruchamianie dodatkowego złośliwego oprogramowania,” dodał Fortinet. „Eksfiltracja jest głównie przeprowadzana za pośrednictwem HTTPS z wykorzystaniem Telegram Bot API. Większe zestawy danych mogą być przesyłane do zewnętrznych usług hostujących pliki, takich jak GoFile, z linkami do pobrania przekazywanymi atakującemu przez Telegram.”

W sumie Amnesia RAT ułatwia kradzież danych uwierzytelniających, przejmowanie sesji, oszustwa finansowe oraz zbieranie danych w czasie rzeczywistym, czyniąc go kompleksowym narzędziem do przejmowania kont oraz dalszych ataków.

Drugim ładunkiem dostarczanym przez skrypt jest ransomware, który pochodzi z rodziny ransomware Hakuna Matata i jest skonfigurowany do szyfrowania dokumentów, archiwów, obrazów, mediów, kodu źródłowego oraz zasobów aplikacji na zainfekowanym punkcie końcowym, ale nie przed zakończeniem jakiegokolwiek procesu, który mógłby zakłócić jego działanie.

Co więcej, ransomware śledzi zawartość schowka i cicho modyfikuje adresy portfeli kryptowalutowych na te kontrolowane przez atakującego w celu przekierowywania transakcji. Sekwencja infekcji kończy się wdrożeniem WinLocker, który ogranicza interakcję użytkownika.

„Ten łańcuch ataków pokazuje, jak nowoczesne kampanie złośliwego oprogramowania mogą doprowadzić do pełnych kompromitacji systemów bez wykorzystywania luk w oprogramowaniu,” podsumowała Lin. „Systematycznie nadużywając wbudowanych funkcji Windows, narzędzi administracyjnych oraz mechanizmów egzekwowania polityki, napastnik wyłącza obronę punktów końcowych przed wdrożeniem narzędzi do stałego nadzoru i ładunków destrukcyjnych.”

Aby przeciwdziałać nadużyciu defendnot w interfejsie API Centrum zabezpieczeń Windows, firma Microsoft zaleca użytkownikom włączenie Ochrony przed manipulacją, aby zapobiec nieautoryzowanym zmianom w ustawieniach Defendera oraz monitorowanie podejrzanych wywołań API lub zmian usług Defendera.

Rozwój tej sytuacji następuje w chwili, kiedy zastosowany został atak na działy zasobów ludzkich, płac oraz administracji wewnętrznej rosyjskich podmiotów gospodarczych przez aktora zagrożenia UNG0902, w celu dostarczenia nieznanego implantatu nazwanego DUPERUNNER, odpowiedzialnego za ładowanie AdaptixC2, frameworku dowodzenia i kontroli (C2). Kampania phishingowa, oznaczona jako Operacja DupeHike, trwa od listopada 2025 roku.

Laboratoria Seqrite wskazały, że ataki obejmują wykorzystanie zwodniczych dokumentów związanych z tematami bonów dla pracowników oraz wewnętrznych polityk finansowych, aby przekonać odbiorców do otwarcia złośliwego pliku LNK w archiwach ZIP, co prowadzi do uruchomienia DUPERUNNER.

Implant łączy się z zewnętrznym serwerem, aby pobrać i wyświetlić zwodniczy dokument PDF, podczas gdy profilowanie systemu oraz pobieranie beaconu AdaptixC2 odbywa się w tle.

W ostatnich miesiącach rosyjskie organizacje były również potencjalnym celem innego aktora zagrożenia znanego jako Paper Werewolf (aka GOFFEE), który wykorzystywał sztuczną inteligencję (AI) do generowania zwodniczych dokumentów i plików DLL skompilowanych jako dodatki Excel XLL, aby dostarczyć backdoora znanego jako EchoGather.

„Po uruchomieniu backdoor zbiera informacje o systemie, komunikuje się z twardo zakodowanym serwerem dowodzenia i kontroli (C2), a także wspiera wykonywanie poleceń oraz operacje transferu plików,” powiedziała badaczka bezpieczeństwa Intezer, Nicole Fishbein. „Komunikuje się z C2 przez HTTP(S), wykorzystując API WinHTTP.”