Киберпреступная группа Unicorn атакует российские компании с сентября 2024 года. Почерк узнаваемый: шаблонные рассылки, долгая жизнь одной C2-инфраструктуры, минимальные изменения в ВПО.
30 марта 2026 года специалисты департамента киберразведки (Threat Intelligence) компании F6 зафиксировала новую атаку. Цель — авиастроительная отрасль. Письмо имеет типичную для группы тему: «Направляем Вам исходящее №* от 30.03.2026» и одноименный ZIP-архив во вложении.
Анализ вложения в F6 Malware Detonation Platform.
Специалисты F6 Threat Intelligence выявили ряд изменений по сравнению в более ранней активностью.
1️⃣ Переход с VBS-скриптов на JS-скрипты. При этом цепочка атаки практически не изменилась: архив из вложения содержит HTA-файл, после запуска которого извлекаются 8 попарно идентичных скриптов в две разные директории. Для закрепления JS-скрипты прописываются в автозагрузку через реестр (RunOnce) и планировщик задач. Возможности JS-скриптов повторяют те, что ранее были реализованы в VBS-скриптах Unicorn:
-
history_log.js (update_info.js) — сбор файлов с определенными расширениями из директорий пользователя;
-
drive_layout.js (calendar_event.js) — сбор данных браузеров, Telegram, файлов из съемных дисков;
-
storage_index.js (setup_file.js) — взаимодействие с C2 для получения команд;
-
alert_status.js (warning_message.js) — отправка собранных файлов.
2️⃣ Новая логика C2. Ранее как C2 злоумышленники использовали поддомены *.rikardo-milos[.]org. В свежей атаке Unicorn впервые используют в качестве основных C2 IP-адреса, а в качестве резервных — поддомены от нового домена. В выявленной атаке использовались: 45.156.87[.]120, 45.156.87[.]3, 176.65.132[.]239, supercum[.]org.
С помощью GET запроса определяется доступный сервер. Если какой-то из указанных IP доступен, то генерируется URL по шаблону: hxxps://[IP]/bpr-[a-zA-Z0-9]{6, 12}, иначе — генерируется URL по другому шаблону: hxxps://[a-zA-Z0-9]{6,12}.supercum[.]org/bpr-[a-zA-Z0-9]{6,12}.
Домен supercum[.]org был зарегистрирован 22 марта 2026 года, за неделю до выявленной рассылки.
3️⃣ Упростили цепочку. В HTA больше нет финального POST-запроса (раньше был, например, на Discord).
Индикаторы компрометации:
ИСХ № 117_26 от 30.03.2026.zip
MD5: 58564f49bfdc4a0873dbfd44482554a8
ИСХ № 117_26 от 30.03.2026.hta
MD5: 917b9bea8b0f191e2ffba64d64fce5b9
history_log.js | update_info.js
MD5: aa7a558137d846bdf94e065f320bae57
storage_index.js | setup_file.js
MD5: 899d89b0f747a593fc4f984465b7adab
drive_layout.js | calendar_event.js
MD5: 41cbaef86c064a892db1f4789211365d
alert_status.js | warning_message.js
MD5: 64a582e893bad8c268a6579dbd4ecf5d
supercum[.]org
45.156.87[.]120
45.156.87[.]3
176.65.132[.]239
URL: hxxps://[IP]/sts
URL: hxxps://[IP]/bpr-[a-zA-Z0-9]{6, 12}
URL: hxxps://[a-zA-Z0-9]{6,12}.supercum[.]org/bpr-[a-zA-Z0-9]{6,12}
URL: hxxps://[IP|domain]/bpr-[a-zA-Z0-9]{4, 8}.
ссылка на оригинал статьи https://habr.com/ru/articles/1023428/