![APT28 атаковала UKR[.]NET: фишинг, PDF и прокси ngrok](https://www.anti-malware.ru/files/styles/imagesize266w200h/public/images/source/fancy_bear-news.png?itok=l8qWG_nF×tamp=1766255143)
Атакующие продолжают усложнять свою маскировку, мимикрируя теперь и под бренды из мира кибербезопасности. Команда BI.ZONE DFIR рассказала о серии инцидентов, в которых группировка Feral Wolf использовала подмену доменов и имён хостов, маскируя свою активность под легитимные сервисы и привычные для администраторов действия.
По словам специалистов, за последние месяцы им несколько раз попадался один и тот же приём: злоумышленники имитировали названия известных компаний и сервисов, чтобы их инфраструктура не вызывала подозрений при беглом анализе.
В одном из расследованных кейсов атакующие использовали домен формата *.bizone.dev, который визуально очень похож на название BI.ZONE. В другом случае они пошли ещё дальше и переопределили домен *.bi.zone прямо в SSH-конфигурации Windows, подменив его на IP-адрес своей инфраструктуры.
Для этого злоумышленники внесли изменения в файл
C:\Windows\System32\config\systemprofile\.ssh\config, прописав там вредоносный хост. В результате при обращении к «знакомому» имени фактически устанавливалось соединение с сервером атакующих.
Как отмечают эксперты BI.ZONE DFIR, SSH всё чаще используется не только для доступа, но и для туннелирования трафика к инфраструктуре злоумышленников. В данном случае через SSH был создан алиас, который позволял атакующим незаметно поднимать туннели и поддерживать постоянный канал связи.
Чтобы не потерять доступ, атакующие дополнительно создали планировщик задач в Windows с именем, маскирующимся под системную — User_Feed_Synchronization-{GUID}. Такая задача выглядела как стандартный механизм синхронизации RSS-лент и не вызывала подозрений.
На деле же она регулярно запускала ssh.exe, автоматически восстанавливая соединение с инфраструктурой атакующих и обеспечивая им постоянное присутствие в системе.
С точки зрения мониторинга и реагирования такие туннели обнаружить можно. Но проблема в другом: обычные администраторы, разработчики и аналитики могут просто не обратить внимание на «знакомые» домены, имена задач и привычные системные процессы.
Как подчёркивают эксперты, ключевая ставка здесь делается на доверие и визуальное сходство. Если что-то выглядит легитимным — это ещё не значит, что таковым является.
В BI.ZONE также поделились примерами признаков, на которые стоит обратить внимание специалистам по Threat Hunting, в том числе:
- запуск
ssh.exeв Windows с нетипичными портами, - планировщики задач, вызывающие SSH,
- сетевые соединения SSH не на стандартный 22-й порт.
Эксперты советуют оставаться особенно бдительными к SSH-активности на Windows-системах и регулярно проверять конфигурационные файлы, даже если на первый взгляд всё выглядит привычно.
