Группа киберразведки PT ESC зафиксировала новую волну активности хакерской группировки NetMedved, нацеленную на российские организации. Схема социальной инженерии прежняя: ZIP-архивы с документами-приманками под деловую переписку и конечной полезной нагрузкой NetSupportRAT.

По сравнению с прошлой кампанией в арсенале появилось:

• Собственный redirect-домен: позволяет менять серверы доставки, не пересобирая уже разосланные вредоносные файлы.

• AES-128-CBC-шифрование PowerShell-стейджа.

• ZIP/JScript-вариант без обращения к внешней инфраструктуре: все необходимое зашито в тело .js-файла.

Отдельно удалось подтвердить, что JScript-вектор группировка применяет как минимум с 2024 года — характерные образцы нашлись в ретроспективном поиске.

🔗 Полный разбор цепочек заражения, техники и тактики группировки, а также индикаторы компрометации — в нашем блоге на Хабре.

#TI #APT #phishing #иб #информационнаябезопасность