Mistinis užpakalinis duris
Sudėtinga „backdoor“ programa, žinoma kaip „Mistic“, dar sekama kaip „MLTBackdoor“, pasirodė įtariamų finansiškai motyvuotų kibernetinių atakų bangoje, kuri vyksta nuo 2026 m. balandžio mėn. Kenkėjiška programa buvo aptikta atakose prieš organizacijas, veikiančias draudimo, švietimo, informacinių technologijų ir profesinių paslaugų sektoriuose.
Saugumo tyrėjai susiejo operaciją su pradinės prieigos tarpininku (IAB) „KongTuke“, dar žinomu keliais slapyvardžiais, įskaitant 404 TDS, Chaya_002, LandUpdate808, TAG-124 ir Woodgnat. Šių įsilaužimų metu „Mistic“ buvo dislokuota kartu su „ModeloRAT“ – Python pagrindu veikiančiu nuotolinės prieigos Trojos arkliu, anksčiau priskirtu tam pačiam grėsmės subjektui.
Turinys
Sukurta slaptai ir ilgalaikei prieigai
„Mistic“ išsiskiria tuo, kad gali veikti tik atmintyje, neįrašant failų į diską, todėl aptikimo tikimybė gerokai sumažėja. Kenkėjiška programa taip pat turi integruotą išjungimo jungiklį, kuris leidžia jai prireikus ištrinti duomenis. Šios savybės rodo, kad operatoriai daugiausia dėmesio skiria nuolatinei ir slaptai prieigai prie pažeistų aplinkų.
Siekdama išvengti dėmesio, kenkėjiška programa naudoja DLL šoninio įkėlimo metodus, piktnaudžiaudama teisėta „Microsoft“ galinių taškų saugos priemone „MpExtMs.exe“, kad įsilietų į įprastą sistemos veiklą.
„ClickFix“ pristatymo kampanijų evoliucija
„ModeloRAT“ pirmą kartą atkreipė dėmesį 2026 m. sausį, tiriant „ClickFix“ kampanijos variantą, žinomą kaip „CrashFix“. Šios operacijos metu „KongTuke“ veikėjai platino kenkėjišką „Google Chrome“ plėtinį, užmaskuotą kaip reklamos blokatorius. Plėtinys tyčia užblokavo aukų naršykles ir tada apgavo jas, kad jos vykdytų kenkėjiškas komandas, prisidengdamos saugumo nuskaitymu.
Kita „ClickFix“ kampanija naudojo kitokį metodą, nurodydama aukoms vykdyti komandas, kurios atliko domenų vardų sistemos (DNS) paiešką. DNS užklausa buvo panaudota kito etapo naudingajai apkrovai gauti, efektyviai paverčiant DNS lengvu paruošimo ir signalizacijos mechanizmu užpuolikams.
2026 m. birželį tyrėjai taip pat pabrėžė „ClickFix“ naudojimą kaip „Mistic“ pristatymo mechanizmą, priskirdami šią veiklą su išpirkos reikalaujančia programine įranga susijusiam grėsmės veikėjui, bandančiam įgyti pradinę poziciją ir palengvinti šoninį judėjimą tinkluose.
Gebėjimai, dėl kurių Mistic yra labai pavojingas
Užpakalinės durys siūlo platų funkcijų rinkinį, dažniausiai siejamą su pažangiomis nuotolinės prieigos kenkėjiškomis programomis, įskaitant:
Failų įkėlimas ir atsisiuntimas, aplankų kūrimas, perkėlimas, pervadinimas arba ištrynimas.
Kenkėjiško kodo vykdymas tiesiogiai atmintyje, „Beacon Object Files“ įkėlimas siekiant išplėsti funkcionalumą, komandų apklausos intervalų modifikavimas ir savęs nutraukimas bei ištrynimas siekiant pašalinti įrodymus.
Oportunistinis taikinys ir išpirkos reikalaujančių programų ryšiai
Atrodo, kad kampanija vadovaujasi oportunistiniu modeliu, o ne sutelkia dėmesį į vieną pramonės šaką. Pranešama, kad užpuolikai įsilaužia į įvairias organizacijas ir tada vertina, kurios aukos galėtų pasiūlyti pelningų prieigos galimybių kitiems kibernetiniams nusikaltėliams.
Tyrėjai taip pat pastebėjo „ModeloRAT“ atakose, kurios galiausiai lėmė „Qilin“ išpirkos reikalaujančios programinės įrangos diegimą, sustiprindamos ryšį tarp pradinės prieigos tarpininkų ir išpirkos reikalaujančių programų operatorių.
„KongTuke“ plečiamas socialinės inžinerijos metodų arsenalas
„KongTuke“ valdo sudėtingą srauto paskirstymo sistemą (TDS), sukurtą pažeistų „WordPress“ svetainių pagrindu. Ši infrastruktūra naudojama nuolat kintantiems masalui pateikti, kuris nukreipia nieko neįtariančius lankytojus į kenkėjiškų programų platinimo grandines.
Visai neseniai saugumo bendrovės „Rapid7“ ir „ReliaQuest“ pranešė, kad grėsmės veikėjas pakeitė taktiką ir siųs „Microsoft Teams“ pranešimus iš nesąžiningų „IT palaikymo“ paskyrų. Šie pranešimai inicijuoja atakų grandinę, kuri kulminuoja „ModeloRAT“ diegimu.
Auganti individualizuotų kenkėjiškų programų kūrimo tendencija
„Mistic“ sudėtingumas ir įtariamas „Woodgnat“ dalyvavimas kuriant „ModeloRAT“ rodo, kad tai itin kvalifikuota grupė, kuri specializuojasi slaptose nuotolinės prieigos priemonėse. „Backdoor.Mistic“ atsiradimas taip pat atspindi platesnę pramonės tendenciją, kai išpirkos reikalaujančių programų operacijos vis dažniau remiasi specialiai sukurta kenkėjiška programa, išgavimo programomis ir specializuotomis prieigos priemonėmis.
Dabartiniai duomenys rodo, kad „Mistic“ greičiausiai yra prieigos tarpininkų, bendradarbiaujančių su išpirkos reikalaujančių programų filialais, produktas, o ne pačios išpirkos reikalaujančių programų grupės sukurtas įrankis.
