SOC Prime Bias: Високий

17 Apr 2026 14:27 UTC

Викурення афілійованої особи: SmokedHam, Qilin, кілька оголошень Google і трохи bossware

Author Photo
SOC Prime Team linkedin icon Стежити
Викурення афілійованої особи: SmokedHam, Qilin, кілька оголошень Google і трохи bossware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Підсумок

Orange Cyberdefense повідомили, що на початку 2026 року афіліат з розповсюдженням програм-вимагачів поширював бекдор SmokedHam через шкідливі оголошення, що маскувались під легітимне утилітне програмне забезпечення. В принаймні одній підтвердженій інфільтрації бекдор був використаний для доставки Qilin ransomware. Дослідники з середньо впевненістю пов’язали цю активність з російськомовним афіліатом UNC2465, загрозливим актором, раніше пов’язаним з операціями DarkSide, LockBit та Hunters International.

Розслідування

Розслідування охопило понад 30 зразків SmokedHam, зібраних у 2025 і 2026 роках, і виявило домени, що займалися шкідливою рекламою та використовували Cloudflare Workers для маскування доменів разом з інфраструктурою на базі AWS. Аналітики також зафіксували зловживання легітимними інструментами, такими як PuTTY і Total Commander, для того, щоб шкідлива активність зливалася з нормальними адміністративними операціями. Звіт також висвітлив тактичні перекриття з активністю, раніше пов’язаною з UNC2465.

Захист

Захисникам слід блокувати відомі домени шкідливої реклами, забезпечити дозвіл тільки для певних додатків, таких як RVTools і Remote Desktop Manager, і відстежувати незвичайне використання легітимних адміністративних утиліт. Слід також посилити покриття засобами виявлення на кінцевих точках, щоб ідентифікувати поведінку бекдора SmokedHam та пов’язану з ним активність після компрометації. Використання потоків загрозової інформації з хмари може додатково покращити зусилля з виявлення та збагачення.

Відповідь

Якщо виявлено підозрілу активність, негайно ізолюйте уражену систему, збирайте судові артефакти та шукайте індикатори, пов’язані як з SmokedHam, так і з Qilin. Слід також встановити, чи відбулося викрадення облікових даних або шифрування даних програмою-вимагачем. Рекомендується провести ширший пошук загроз, пов’язаних з інфраструктурою, а також активувати встановлені процедури реагування на інциденти з програмами-вимагачами.

Потік Атаки

Виявлення

Можливі Точки Стійкості [ASEPs – Програмне Забезпечення/Вулик NTUSER] (через подію реєстру)

Команда SOC Prime
16 квітня 2026

Можливе Стиснення Даних для Інфільтрації або Екстракції (через командний рядок)

Команда SOC Prime
16 квітня 2026

Підозріле Виконання GPG (через командний рядок)

Команда SOC Prime
16 квітня 2026

Підозрілі Рядки Powershell (через powershell)

Команда SOC Prime
16 квітня 2026

Виклик Підозрілих Методи .NET з Powershell (через powershell)

Команда SOC Prime
16 квітня 2026

Можлива Спроба Зловживання Publicnode Ethereum Як C2 Канал (через dns_query)

Команда SOC Prime
16 квітня 2026

Можлива Інфільтрація/Екфільтрація/ C2 через Сторонні Сервіси/Інструменти (через проксі)

Команда SOC Prime
16 квітня 2026

Можлива Інфільтрація/Екфільтрація/ C2 через Сторонні Сервіси/Інструменти (через dns)

Команда SOC Prime
16 квітня 2026

Симуляція

Ми все ще оновлюємо цю частину. Зареєструйтесь, щоб отримати сповіщення

Сповістити мене