Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Руски CTRL Toolkit дистрибуиран преку малициозни LNK фајлови врши преземање на RDP преку FRP тунели

Објавено: 31.03.2026

Истражувачи за сајбер-безбедност открија алатка за далечински пристап со руско потекло, која се дистрибуира преку малициозни Windows shortcut (LNK) фајлови маскирани како папки со приватни клучеви.

CTRL toolkit-от, според Censys, е изграден по нарачка со .NET и содржи различни извршни фајлови за овозможување на фишинг на креденцијали, снимање на тастатура (keylogging), преземање на Remote Desktop Protocol (RDP) сесии и reverse tunneling преку Fast Reverse Proxy (FRP).

„Извршните фајлови овозможуваат вчитување на енкриптирани payload-и, собирање креденцијали преку напреден Windows Hello фишинг интерфејс, keylogging, преземање на RDP сесии и reverse proxy тунелирање преку FRP,“ изјави истражувачот за безбедност од Censys, Andrew Northern.

Платформата за управување со нападна површина соопшти дека го пронашла CTRL toolkit-от во отворен директориум на 146.19.213[.]155 во февруари 2026 година. Нападните синџири кои го дистрибуираат toolkit-от користат оружен LNK фајл („Private Key #kfxm7p9q_yek.lnk“) со икона на папка за да ги измамат корисниците да кликнат двапати на него.

Ова активира повеќефазен процес, каде секоја фаза ја дешифрира или декомпресира следната, сè додека не дојде до инсталација на toolkit-от. LNK dropper-от е дизајниран да стартува скриена PowerShell команда, која потоа ги брише постојните механизми за перзистенција од Windows Startup папката на жртвата. Исто така декодира Base64-енкодиран blob и го извршува во меморија.

Stager-от, од своја страна, тестира TCP конекција кон hui228[.]ru:7000 и презема payload-и од следната фаза од серверот. Дополнително, ги менува firewall правилата, поставува перзистенција преку закажани задачи, креира локални backdoor корисници и стартува cmd.exe shell сервер на порт 5267, достапен преку FRP тунелот.

Еден од преземените payload-и, „ctrl.exe“, функционира како .NET loader за стартување на вграден payload – CTRL Management Platform, која може да работи како сервер или клиент, во зависност од аргументите од командната линија. Комуникацијата се одвива преку Windows named pipe.

„Двојниот режим значи дека операторот го поставува ctrl.exe еднаш на жртвата (преку stager-от), а потоа комуницира со него со извршување на ctrl.exe client преку RDP сесија тунелирана преку FRP,“ соопшти Censys. „Архитектурата со named pipe го задржува целиот C2 сообраќај локално на машината на жртвата – ништо не минува преку мрежата освен самата RDP сесија.“

Поддржаните команди му овозможуваат на малициозниот софтвер да собира информации за системот, да стартува модул за крадење креденцијали и да активира keylogger како позадински сервис (доколку е конфигуриран како сервер), кој ги снима сите притисоци на тастатурата во фајл „C:\Temp\keylog.txt“ преку инсталирање на keyboard hook, и да ги ексфилтрира резултатите.

Компонентата за собирање креденцијали се стартува како Windows Presentation Foundation (WPF) апликација која имитира вистински Windows прозорец за верификација на PIN, со цел да го украде системскиот PIN. Овој модул, покрај тоа што ги блокира обидите за излез од фишинг прозорецот преку кратенки како Alt+Tab, Alt+F4 или F4, го проверува внесениот PIN во однос на реалниот Windows credential prompt преку UI автоматизација, користејќи ја методата SendKeys().

„Доколку PIN-от е одбиен, жртвата повторно се враќа со порака за грешка,“ објаснува Northern. „Прозорецот останува отворен дури и ако PIN-от успешно се валидира во вистинскиот Windows систем за автентикација. Украдениот PIN се запишува со префикс [STEALUSER PIN CAPTURED] во истиот keylog фајл што го користи позадинскиот keylogger.“

Една од командите вградени во toolkit-от му овозможува да испраќа toast нотификации, имитирајќи веб-прелистувачи како Google Chrome, Microsoft Edge, Brave, Opera, Opera GX, Vivaldi, Yandex и Iron, со цел дополнително крадење креденцијали или испорака на други payload-и.

Другите два payload-а кои се инсталираат како дел од нападот се:

  • FRPWrapper.exe – Go DLL која се вчитува во меморија за воспоставување reverse тунели за RDP и суров TCP shell преку FRP серверот на напаѓачот
  • RDPWrapper.exe – овозможува неограничен број на истовремени RDP сесии

„Toolkit-от покажува внимателно осмислена оперативна безбедност. Ниту еден од трите хостирани бинарни фајлови не содржи hard-coded C2 адреси,“ соопшти Censys. „Сите податоци се ексфилтрираат преку FRP тунелот преку RDP — операторот се поврзува на десктопот на жртвата и ги чита keylog податоците преку ctrl named pipe. Оваа архитектура остава минимални форензички траги во мрежата во споредба со традиционалните C2 beacon модели.“

„CTRL toolkit-от покажува тренд кон алатки направени по нарачка за еден оператор, кои даваат приоритет на оперативната безбедност наместо на ширината на функционалности. Со насочување на целата интеракција преку FRP reverse тунели кон RDP сесии, операторот ги избегнува мрежно детектибилните beacon модели што се карактеристични за класичните RAT алатки.“

Извори:

  • The Hacker News – Russian CTRL Toolkit Delivered via Malicious LNK Files Hijacks RDP via FRP Tunnels The Hacker News