Викурення афілійованої особи: SmokedHam, Qilin, кілька оголошень Google і трохи bossware
Detection stack
- AIDR
- Alert
- ETL
- Query
Підсумок
Orange Cyberdefense повідомили, що на початку 2026 року афіліат з розповсюдженням програм-вимагачів поширював бекдор SmokedHam через шкідливі оголошення, що маскувались під легітимне утилітне програмне забезпечення. В принаймні одній підтвердженій інфільтрації бекдор був використаний для доставки Qilin ransomware. Дослідники з середньо впевненістю пов’язали цю активність з російськомовним афіліатом UNC2465, загрозливим актором, раніше пов’язаним з операціями DarkSide, LockBit та Hunters International.
Розслідування
Розслідування охопило понад 30 зразків SmokedHam, зібраних у 2025 і 2026 роках, і виявило домени, що займалися шкідливою рекламою та використовували Cloudflare Workers для маскування доменів разом з інфраструктурою на базі AWS. Аналітики також зафіксували зловживання легітимними інструментами, такими як PuTTY і Total Commander, для того, щоб шкідлива активність зливалася з нормальними адміністративними операціями. Звіт також висвітлив тактичні перекриття з активністю, раніше пов’язаною з UNC2465.
Захист
Захисникам слід блокувати відомі домени шкідливої реклами, забезпечити дозвіл тільки для певних додатків, таких як RVTools і Remote Desktop Manager, і відстежувати незвичайне використання легітимних адміністративних утиліт. Слід також посилити покриття засобами виявлення на кінцевих точках, щоб ідентифікувати поведінку бекдора SmokedHam та пов’язану з ним активність після компрометації. Використання потоків загрозової інформації з хмари може додатково покращити зусилля з виявлення та збагачення.
Відповідь
Якщо виявлено підозрілу активність, негайно ізолюйте уражену систему, збирайте судові артефакти та шукайте індикатори, пов’язані як з SmokedHam, так і з Qilin. Слід також встановити, чи відбулося викрадення облікових даних або шифрування даних програмою-вимагачем. Рекомендується провести ширший пошук загроз, пов’язаних з інфраструктурою, а також активувати встановлені процедури реагування на інциденти з програмами-вимагачами.
Потік Атаки
Виявлення
Можливі Точки Стійкості [ASEPs – Програмне Забезпечення/Вулик NTUSER] (через подію реєстру)
Переглянути
Можливе Стиснення Даних для Інфільтрації або Екстракції (через командний рядок)
Переглянути
Підозріле Виконання GPG (через командний рядок)
Переглянути
Підозрілі Рядки Powershell (через powershell)
Переглянути
Виклик Підозрілих Методи .NET з Powershell (через powershell)
Переглянути
Можлива Спроба Зловживання Publicnode Ethereum Як C2 Канал (через dns_query)
Переглянути
Можлива Інфільтрація/Екфільтрація/ C2 через Сторонні Сервіси/Інструменти (через проксі)
Переглянути
Можлива Інфільтрація/Екфільтрація/ C2 через Сторонні Сервіси/Інструменти (через dns)
Переглянути