Хакеры используют поддельный Office, а потом получают тихий доступ к компьютеру через RDP

Исследователи сообщили о новой вредоносной кампании, которую связывают с группой APT-C-13. В разных отчётах эту же группу также называют Sandworm, APT44 и Seashell Blizzard. Это не случайные киберпреступники, а известная хакерская группа, которую MITRE относит к числу давно действующих и опасных APT-акторов.

APT расшифровывается как Advanced Persistent Threat — «сложная длительная целевая атака». Это означает, что злоумышленники не просто заражают компьютер и уходят, а стараются закрепиться внутри сети и работать тихо, иногда месяцами, собирая информацию или совершая другие действия. 

Суть атаки выглядит так: человеку подсовывают поддельный файл с якобы Microsoft Office, он запускает его, система заражается, а затем злоумышленники настраивают себе скрытый удалённый доступ через RDP. Речь про Remote Desktop Protocol, или протокол удалённого рабочего стола. Он позволяет подключиться к другому компьютеру и управлять им на расстоянии, как будто вы сидите перед ним. Это обычный инструмент администраторов и сотрудников на удалёнке. Но если такой доступ получают злоумышленники, они могут так же спокойно работать на заражённой машине. 

Жертве предлагают ISO-файл с названием вроде Microsoft.Office.2025x64.v2025.iso. Такой файл распространяют через Telegram-каналы и сообщества с пиратским софтом. Человек думает, что скачал установщик Office, но после запуска вместе с ним запускаются скрытые вредоносные файлы, замаскированные под обычные auto.exe или setup.exe. С этого момента начинается установка дополнительных модулей.

ISO-образ — это файл, который имитирует содержимое установочного диска. Для пользователя он выглядит как обычный «дистрибутив программы», поэтому такие файлы часто используют и легальные разработчики, и злоумышленники. В этой кампании ISO нужен именно как удобная упаковка для поддельного установщика.

Исследовали упоминают модули Tambur, Sumbur и Kalambur. Это части одного вредоносного набора, где каждый компонент отвечает за свою задачу: один помогает закрепиться, другой поддерживает связь с управляющим сервером, третий помогает скрыть активность. Именно Tambur создаёт скрытые задачи в Windows, а Sumbur и Kalambur помогают управлять заражённой системой через скрытые каналы связи.

После первоначального заражения злоумышленникам важно не потерять доступ. Этот этап и называется закреплением. В рассматриваемой кампании для этого используются задачи в планировщике Windows. Планировщик задач — это штатный системный инструмент, который может автоматически запускать программы по расписанию или при определённых событиях. Вот атакующие и создают задачи с уже упомянутыми именами вроде Tambur и Protector в пути \Microsoft\Windows\WDI\Protector\. Это нужно, чтобы они были похожи на нормальные системные компоненты.

Также используют SSH reverse tunneling — это скрытый канал связи, который заражённая машина сама открывает наружу — к серверу злоумышленников. Это позволяет пробросить внутренний RDP-порт жертвы на удалённый сервер. Проще говоря, даже если RDP изначально не был открыт в интернет напрямую, атакующие могут организовать себе путь к нему через такой туннель. Это делает доступ менее заметным и помогает обходить сетевые ограничения.

Часть командного трафика идёт через Tor. Это сеть, которая скрывает реальный маршрут соединения и помогает замаскировать инфраструктуру злоумышленников. Для атакующих это удобно: становится труднее понять, откуда именно пришла команда и куда уходит трафик с заражённой машины.

Модуль Sumbur маскируется под обновление Microsoft Edge и хранит вредоносные VBS-скрипты в поддельной папке обновлений. VBS или VBScript — это старый скриптовый язык Windows, который используется для автоматизации системных действий. Именно поэтому такие файлы могут выглядеть как обычные служебные сценарии. Такие скрипты запускаются каждые четыре часа, чтобы вредоносная активность выглядела как фоновые процессы обслуживания.

А ещё есть модуль DemiMur, который добавляет в систему поддельный корневой сертификат DemiMurCA.crt — цифровой сертификат, которому система доверяет. Если злоумышленники внедряют свой сертификат в хранилище доверенных, последующие вредоносные файлы и соединения могут выглядеть для системы надёжными. А это опять таки серьёзно усложняет обнаружение атаки.

Ещё одна деталь — добавление исключений в Microsoft Defender. Исключение означает, что антивирус перестаёт проверять конкретные файлы, папки или даже целый диск. В статье утверждается, что злоумышленники могут добавить исключения на весь диск C:\, тем самым заметно ослабляя встроенную защиту Windows.

Такая схема особенно опасна тем, что начинается с привычной ошибки пользователя: кто-то скачал бесплатный Office, активатор или неофициальную сборку. Но дальше проблема быстро выходит за пределы одного компьютера. Если атакующие закрепились через RDP, задачи планировщика, туннели и скрытые скрипты, они могут долго оставаться внутри корпоративной сети, изучать инфраструктуру и красть данные. Microsoft в своих рекомендациях по RDP отдельно подчёркивает, что удалённый доступ должен быть защищён особенно тщательно, потому что он часто становится опорной точкой для дальнейшего движения по сети.

Компаниям имеет смысл проверить, не используются ли внутри компании пиратские ISO, активаторы и неофициальные установщики Office. Также стоит выяснить, где именно в инфраструктуре доступен RDP, открыт ли он наружу и защищён ли дополнительными мерами. Microsoft рекомендует не выставлять RDP напрямую в интернет, использовать более защищённые схемы доступа и усиливать контроль журналов, паролей и многофакторной аутентификации.

Отдельно полезно смотреть на появление новых задач в планировщике Windows, неожиданных исключений в Defender, подозрительных скриптов под видом обновлений и нетипичной активности SSH или RDP. Это не гарантирует обнаружение, но помогает заметить признаки закрепления раньше, чем злоумышленники успеют развить атаку.