{ "id": "7a84935b-28ec-4aef-be02-b164482ca7ca", "created_at": "2026-04-06T00:19:44.544545Z", "updated_at": "2026-04-10T03:37:08.939164Z", "deleted_at": null, "sha1_hash": "e175cdec1fa4af63c84dc467584f080db3777a16", "title": "Новый червь CMoon распространяется через скомпрометированный сайт", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 650337, "plain_text": "Новый червь CMoon распространяется через\r\nскомпрометированный сайт\r\nBy Kaspersky\r\nPublished: 2024-08-07 · Archived: 2026-04-05 16:01:22 UTC\r\nОписание вредоносного ПО\r\nОписание вредоносного ПО\r\n07 Авг 2024\r\n 4 мин. на чтение\r\nhttps://securelist.ru/how-the-cmoon-worm-collects-data/109988/#\r\nPage 1 of 9\n\nВведение\r\nВ июле 2024 года благодаря данным нашей телеметрии мы обнаружили новый червь CMoon, способный\r\nвыгружать с зараженного устройства пользователя конфиденциальные и платежные данные, а также\r\nзагружать другие зловреды и запускать DDoS-атаки на интернет-ресурсы, указанные злоумышленником,\r\nкоторый распространялся через легитимный сайт. В этой статье мы расскажем о механизме заражения\r\nчервем и принципах его работы.\r\nОбнаружение и доставка\r\nВ конце июля системы мониторинга угроз «Лаборатории Касперского» зафиксировали, что на сайте\r\nкомпании, обеспечивающей газификацию и газоснабжение одного из городов Российской Федерации,\r\nпоявилось вредоносное программное обеспечение. В ходе анализа выяснилось, что представленные в\r\nнескольких разделах сайта ссылки на скачивание нормативных документов в форматах .docx, .xlsx, .rtf и\r\n.pdf были заменены на другие, которые вели на вредоносные исполняемые файлы, расположенные в\r\nотдельной директории того же сайта. Названия зловредов и адреса ссылок на них повторяли названия\r\nоригинальных документов, но имели добавленное расширение .exe. Всего злоумышленники подменили\r\nоколо двух десятков ссылок, и по каждой из них скачивался самораспаковывающийся архив, содержащий в\r\nсебе исходный документ, который открывался при запуске, а также один и тот же исполняемый файл —\r\nполезную нагрузку.\r\nЭта полезная нагрузка — новое вредоносное ПО, которое мы назвали CMoon за соответствующие строки в\r\nфайлах.\r\nМы проанализировали информацию об этом зловреде из телеметрии KSN (Kaspersky Security Network),\r\nкоторая представляет собой обезличенные данные пользователей продуктов «Лаборатории Касперского»,\r\nдавших свое согласие на передачу и обработку этой информации. По данным KSN, с угрозой столкнулись\r\nпользователи из России. Это объясняется тем фактом, что зараженный сайт принадлежал организации,\r\nпредоставляющей услуги на территории РФ. Мы не видели других векторов распространения этого\r\nвредоносного ПО, поэтому полагаем, что атака нацелена только на посетителей конкретного сайта.\r\nhttps://securelist.ru/how-the-cmoon-worm-collects-data/109988/#\r\nPage 2 of 9\n\nОбнаружив заражение, мы сообщили о нем владельцам ресурса, и к 25 июля вредоносные файлы по\r\nссылкам были удалены.\r\nОписание угрозы\r\nCMoon — это червь, написанный на .NET, с широкой функциональностью для кражи данных и удаленного\r\nуправления. Попав на машину пользователя, он первым делом пытается определить наличие\r\nустановленного антивируса, чтобы затем скопировать себя в соответствующую папку: %LocalAppData%\\\r\n\u003cantivirus\u003e\\\u003cselfname\u003e.dat. Также он создает ярлык для автозагрузки %AppData%\\Microsoft\\Windows\\Start\r\nMenu\\Programs\\Startup\\\u003cantivirus\u003e.lnk. Если червю не удастся обнаружить антивирус, то вместо \u003cantivirus\u003e\r\nбудет использоваться строка system. После этого зловред меняет дату создания и последнего изменения\r\nтолько что созданных им файлов и папок на заранее заданную: 2013.05.22, 10:32:16.\r\nСразу после установки исполняемый файл начинает мониторить подключенные USB-накопители. Это\r\nпозволяет украсть потенциально интересные злоумышленникам файлы со съемных носителей, а также\r\nскопировать на них червь и заразить другие компьютеры, где будет использоваться накопитель. Для\r\nзаражения флешки все файлы на ней, за исключением файлов с расширениями .lnk и .exe, а также файлов в\r\nпапках с подстроками .intelligence и .usb, подменяются ярлыками, ведущими на вредоносное ПО. Папка с\r\nподстрокой .intelligence используется червем для временного хранения потенциально интересных файлов\r\nперед их отправкой на сервер, а с подстрокой .usb — для хранения копий оригинальных документов и\r\nсамой вредоносной программы. Помимо функциональности самораспространения, червь также умеет\r\nполучать команды с удаленного сервера, отвечающие, в частности, за следующие задачи:\r\nзагрузить и выполнить другие вредоносные файлы, указанные атакующим;\r\nсделать скриншот экрана;\r\nинициировать DDoS-атаку на указанный атакующим интернет-ресурс;\r\nсобрать информацию о доступных ресурсах в локальной сети (IP-адреса и открытые порты);\r\nотправить файлы с зараженной машины на удаленный сервер.\r\nДля реализации последней функции в черве уже заложен неизменяемый ряд путей, масок и ключевых\r\nслов, интересующих злоумышленников. В частности, зловред собирает файлы из различных приложений.\r\nНапример, из браузеров собираются файлы, содержащие сохраненные пароли, файлы cookie, закладки,\r\nисторию посещений, а также данные для автозаполнения форм, включая данные о кредитных картах.\r\nЧервь мониторит следующие приложения:\r\nБраузеры\r\nFirefox, Thunderbird, Waterfox, Microsoft Edge, Google Chrome, Opera,\r\nOpera GX, Yandex Browser\r\nКриптокошельки\r\nGuarda, Coinomi, Bitcoin, Electrum, Electrum-LTC, Zcash, Exodus, Jaxx\r\nи Jaxx Liberty, Monero, Binance, Wasabi Wallet, Atomic, Ledger Live\r\nМессенджеры Pidgin, Telegram\r\nSSH-клиент Snowflake (Muon)\r\nhttps://securelist.ru/how-the-cmoon-worm-collects-data/109988/#\r\nPage 3 of 9\n\nFTP-клиент FileZilla\r\nПО для записи видео и\r\nпотокового вещания\r\nOBS Studio\r\nАутентификаторы WinAuth, Authy\r\nПО для удаленного доступа MobaXterm\r\nVPN-клиенты OpenVPN\r\nПомимо содержимого перечисленных приложений, зловред также ищет и отправляет на сервер следующие\r\nфайлы:\r\nдокументы из пользовательских папок Desktop, Documents, Photos, Downloads и с внешних\r\nносителей, содержащие в тексте подстроки «секрет», «служебн», «парол» и другие ключевые слова,\r\nв форматах .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf, .txt, .rtf, .odt, .ods, .odp, .csv, .html, .htm, .epub, .md,\r\n.tex, .wpd, .wps, .pub, .xps, .odg, .ott, .ots, .otp, .msg, .eml;\r\nфайлы, содержащие сведения о защите системы, действиях пользователя и его учетных данных, с\r\nрасширениями .crt, .cer, .pem, .der, .p7b, .p7c, .pfx, .p12, .sst, .csr, .key, .private, .sig, .signature, .p7s,\r\n.asc, .gpg, .authenticode, .kdb, .kdbx, .agilekeychain, .opvault, .lastpass, .psafe3, .ovpn, .log, .cfg, .conf.\r\nЕсли червь не может получить содержимое нужного файла, то он будет пытаться найти и завершить\r\nпроцесс, который в настоящий момент этот файл использует.\r\nhttps://securelist.ru/how-the-cmoon-worm-collects-data/109988/#\r\nPage 4 of 9\n\nСтроки из CMoon\r\nПеред началом общения с командным сервером червь пытается отправить запрос на сервер\r\nwww.pornhub.com, чтобы проверить подключение к интернету. Если сервер не отвечает, червь инициирует\r\nподключение к сохраненным на компьютере сетям Wi-Fi. Вся коммуникация происходит через TCP-соединение.\r\nstruct Request {\r\nchar magic[6];\r\nu8 packet_type;\r\nchar rc4_key[8];\r\nbe u64 data_size;\r\nchar data[data_size];\r\nhttps://securelist.ru/how-the-cmoon-worm-collects-data/109988/#\r\nPage 5 of 9\n\nchar botid[32];\r\nchar md5[32];\r\n};\r\nСтруктура пакета\r\nИсходящие пакеты всегда начинаются с шести байт CMOON$. Далее идет один байт — тип пакета. Нам\r\nудалось восстановить следующие типы пакетов:\r\n0x00: запрос списка команд;\r\n0x01: первый пакет с информацией о системе;\r\n0x02: информация о профиле Wi-Fi;\r\n0x03: файл;\r\n0x04: сигнал о завершении сбора и отправки файлов;\r\n0x05: скриншот;\r\n0x06: информация о внутреннем ресурсе и открытых портах;\r\n0x07: сигнал об отправке цепочки из нескольких пакетов типа 0x06.\r\nСледующие 8 байт пакета генерируются случайным образом и используются как первая часть составного\r\nключа для RC4-шифрования. Вторая часть ключа задана в коде червя: Z(Y?)5[PC,gxdtNsCk;lFrvx7bN+g.\r\nИдущие после ключа 8 байт указывают на размер отправленных данных, а за ними следуют сами данные,\r\nзашифрованные с помощью RC4. Затем указываются 32 байта строки .botid: это MD5-хэш данных о\r\nсистеме, зашифрованный с помощью RC4 с тем же ключом. Последние 32 байта пакета — это MD5-хэш\r\nблока, содержащего строку .botid вместе с собранными данными.\r\nhttps://securelist.ru/how-the-cmoon-worm-collects-data/109988/#\r\nPage 6 of 9\n\nАлгоритм генерации пакетов\r\nНа сервере C2 полученные данные и хэш .botid расшифровываются, объединяются в одну строку, после\r\nчего для нее обсчитывается хэш. Полученное значение сравнивается с последними 32 байтами пакета.\r\nПервый пакет содержит информацию о системе (модель ПК, версия системы и т. д.), и для него всегда\r\nиспользуется тип 0x01.\r\nПример первого пакета при общении с командным сервером\r\nОтвет от сервера зашифровывается тем же RC4-ключом.\r\nВыводы\r\nhttps://securelist.ru/how-the-cmoon-worm-collects-data/109988/#\r\nPage 7 of 9\n\nОписанная нами атака с использованием червя CMoon содержит признаки целевой: жертвами могли стать\r\nтолько посетители конкретного сайта конкретной организации, предоставляющей услуги на территории\r\nРоссии, и для каждого из двух десятков подмененных документов злоумышленники создали отдельный\r\nсамораспаковывающийся архив с червем, что свидетельствует о довольно тщательной подготовке. К\r\nпризнакам целевой атаки относится и тот факт, что червь собирает документы, в названиях которых\r\nсодержатся такие ключи, как «секрет», «служебн», «служб», «парол». При этом стоит отметить, что\r\nраспространение вредоносного ПО через зараженный сайт не самая распространенная техника для\r\nцелевых атак. Гораздо чаще подобные атаки начинаются с фишинговых рассылок. Наши системы\r\nмониторинга позволили быстро нейтрализовать эту угрозу, но достоверно неизвестно, оказались ли\r\nзаражены другие подобные сайты.\r\nCMoon С2С\r\n93 [.] 185 [.] 167[.]95:9899\r\nMD5\r\n132404f2b1c1f5a4d76bd38d1402bdfa\r\nПоследние публикации\r\nОтчеты\r\nhttps://securelist.ru/how-the-cmoon-worm-collects-data/109988/#\r\nPage 8 of 9\n\nРазбираем новую кампанию Librarian Likho с массовой рассылкой фишинговых писем и обновленными\r\nскриптами. Атаки продолжаются на момент публикации.\r\nРазбираем обновленный бэкдор CoolClient, а также новые инструменты и скрипты, замеченные в\r\nкампаниях APT-группы HoneyMyte (aka Mustang Panda и Bronze President), включая три браузерных\r\nстилеров.\r\nЭксперт «Лаборатории Касперского» описывает новые вредоносные инструменты, применяемые APT-группой Cloud Atlas, включая импланты бэкдоров VBShower, VBCloud, PowerShower и CloudAtlas.\r\nЭксперты GReAT «Лаборатории Касперского» обнаружили новую волну кибератак APT-группы\r\n«Форумный тролль», нацеленную на российских ученых-политологов, доставляющую на устройства\r\nфреймворк Tuoni.\r\nSource: https://securelist.ru/how-the-cmoon-worm-collects-data/109988/#\r\nhttps://securelist.ru/how-the-cmoon-worm-collects-data/109988/#\r\nPage 9 of 9", "extraction_quality": 1, "language": "RU", "sources": [ "Malpedia" ], "references": [ "https://securelist.ru/how-the-cmoon-worm-collects-data/109988/#" ], "report_names": [ "#" ], "threat_actors": [ { "id": "77b28afd-8187-4917-a453-1d5a279cb5e4", "created_at": "2022-10-25T15:50:23.768278Z", "updated_at": "2026-04-10T02:00:05.266635Z", "deleted_at": null, "main_name": "Inception", "aliases": [ "Inception Framework", "Cloud Atlas" ], "source_name": "MITRE:Inception", "tools": [ "PowerShower", "VBShower", "LaZagne" ], "source_id": "MITRE", "reports": null }, { "id": "04a7ebaa-ebb1-4971-b513-a0c86886d932", "created_at": "2023-01-06T13:46:38.784965Z", "updated_at": "2026-04-10T02:00:03.099088Z", "deleted_at": null, "main_name": "Inception Framework", "aliases": [ "Clean Ursa", "Cloud Atlas", "G0100", "ATK116", "Blue Odin" ], "source_name": "MISPGALAXY:Inception Framework", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "b69037ec-2605-4de4-bb32-a20d780a8406", "created_at": "2023-01-06T13:46:38.790766Z", "updated_at": "2026-04-10T02:00:03.101635Z", "deleted_at": null, "main_name": "MUSTANG PANDA", "aliases": [ "Stately Taurus", "LuminousMoth", "TANTALUM", "Twill Typhoon", "TEMP.HEX", "Earth Preta", "Polaris", "BRONZE PRESIDENT", "HoneyMyte", "Red Lich", "TA416" ], "source_name": "MISPGALAXY:MUSTANG PANDA", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "8941e146-3e7f-4b4e-9b66-c2da052ee6df", "created_at": "2023-01-06T13:46:38.402513Z", "updated_at": "2026-04-10T02:00:02.959797Z", "deleted_at": null, "main_name": "Sandworm", "aliases": [ "IRIDIUM", "Blue Echidna", "VOODOO BEAR", "FROZENBARENTS", "UAC-0113", "Seashell Blizzard", "UAC-0082", "APT44", "Quedagh", "TEMP.Noble", "IRON VIKING", "G0034", "ELECTRUM", "TeleBots" ], "source_name": "MISPGALAXY:Sandworm", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "3a0be4ff-9074-4efd-98e4-47c6a62b14ad", "created_at": "2022-10-25T16:07:23.590051Z", "updated_at": "2026-04-10T02:00:04.679488Z", "deleted_at": null, "main_name": "Energetic Bear", "aliases": [ "ATK 6", "Blue Kraken", "Crouching Yeti", "Dragonfly", "Electrum", "Energetic Bear", "G0035", "Ghost Blizzard", "Group 24", "ITG15", "Iron Liberty", "Koala Team", "TG-4192" ], "source_name": "ETDA:Energetic Bear", "tools": [ "Backdoor.Oldrea", "CRASHOVERRIDE", "Commix", "CrackMapExec", "CrashOverride", "Dirsearch", "Dorshel", "Fertger", "Fuerboos", "Goodor", "Havex", "Havex RAT", "Hello EK", "Heriplor", "Impacket", "Industroyer", "Karagany", "Karagny", "LightsOut 2.0", "LightsOut EK", "Listrix", "Oldrea", "PEACEPIPE", "PHPMailer", "PsExec", "SMBTrap", "Subbrute", "Sublist3r", "Sysmain", "Trojan.Karagany", "WSO", "Webshell by Orb", "Win32/Industroyer", "Wpscan", "nmap", "sqlmap", "xFrost" ], "source_id": "ETDA", "reports": null }, { "id": "a66438a8-ebf6-4397-9ad5-ed07f93330aa", "created_at": "2022-10-25T16:47:55.919702Z", "updated_at": "2026-04-10T02:00:03.618194Z", "deleted_at": null, "main_name": "IRON VIKING", "aliases": [ "APT44 ", "ATK14 ", "BlackEnergy Group", "Blue Echidna ", "CTG-7263 ", "ELECTRUM ", "FROZENBARENTS ", "Hades/OlympicDestroyer ", "IRIDIUM ", "Qudedagh ", "Sandworm Team ", "Seashell Blizzard ", "TEMP.Noble ", "Telebots ", "Voodoo Bear " ], "source_name": "Secureworks:IRON VIKING", "tools": [ "BadRabbit", "BlackEnergy", "GCat", "NotPetya", "PSCrypt", "TeleBot", "TeleDoor", "xData" ], "source_id": "Secureworks", "reports": null }, { "id": "6daadf00-952c-408a-89be-aa490d891743", "created_at": "2025-08-07T02:03:24.654882Z", "updated_at": "2026-04-10T02:00:03.645565Z", "deleted_at": null, "main_name": "BRONZE PRESIDENT", "aliases": [ "Earth Preta ", "HoneyMyte ", "Mustang Panda ", "Red Delta ", "Red Lich ", "Stately Taurus ", "TA416 ", "Temp.Hex ", "Twill Typhoon " ], "source_name": "Secureworks:BRONZE PRESIDENT", "tools": [ "BlueShell", "China Chopper", "Claimloader", "Cobalt Strike", "HIUPAN", "ORat", "PTSOCKET", "PUBLOAD", "PlugX", "RCSession", "TONESHELL", "TinyNote" ], "source_id": "Secureworks", "reports": null }, { "id": "9baa7519-772a-4862-b412-6f0463691b89", "created_at": "2022-10-25T15:50:23.354429Z", "updated_at": "2026-04-10T02:00:05.310361Z", "deleted_at": null, "main_name": "Mustang Panda", "aliases": [ "Mustang Panda", "TA416", "RedDelta", "BRONZE PRESIDENT", "STATELY TAURUS", "FIREANT", "CAMARO DRAGON", "EARTH PRETA", "HIVE0154", "TWILL TYPHOON", "TANTALUM", "LUMINOUS MOTH", "UNC6384", "TEMP.Hex", "Red Lich" ], "source_name": "MITRE:Mustang Panda", "tools": [ "CANONSTAGER", "STATICPLUGIN", "ShadowPad", "TONESHELL", "Cobalt Strike", "HIUPAN", "Impacket", "SplatCloak", "PAKLOG", "Wevtutil", "AdFind", "CLAIMLOADER", "Mimikatz", "PUBLOAD", "StarProxy", "CorKLOG", "RCSession", "NBTscan", "PoisonIvy", "SplatDropper", "China Chopper", "PlugX" ], "source_id": "MITRE", "reports": null }, { "id": "02c9f3f6-5d10-456b-9e63-750286048149", "created_at": "2022-10-25T16:07:23.722884Z", "updated_at": "2026-04-10T02:00:04.72726Z", "deleted_at": null, "main_name": "Inception Framework", "aliases": [ "ATK 116", "Blue Odin", "Clean Ursa", "Cloud Atlas", "G0100", "Inception Framework", "Operation Cloud Atlas", "Operation RedOctober", "The Rocra" ], "source_name": "ETDA:Inception Framework", "tools": [ "Lastacloud", "PowerShower", "VBShower" ], "source_id": "ETDA", "reports": null }, { "id": "2ee03999-5432-4a65-a850-c543b4fefc3d", "created_at": "2022-10-25T16:07:23.882813Z", "updated_at": "2026-04-10T02:00:04.776949Z", "deleted_at": null, "main_name": "Mustang Panda", "aliases": [ "Bronze President", "Camaro Dragon", "Earth Preta", "G0129", "Hive0154", "HoneyMyte", "Mustang Panda", "Operation SMUGX", "Operation SmugX", "PKPLUG", "Red Lich", "Stately Taurus", "TEMP.Hex", "Twill Typhoon" ], "source_name": "ETDA:Mustang Panda", "tools": [ "9002 RAT", "AdFind", "Agent.dhwf", "Agentemis", "CHINACHOPPER", "China Chopper", "Chymine", "ClaimLoader", "Cobalt Strike", "CobaltStrike", "DCSync", "DOPLUGS", "Darkmoon", "Destroy RAT", "DestroyRAT", "Farseer", "Gen:Trojan.Heur.PT", "HOMEUNIX", "Hdump", "HenBox", "HidraQ", "Hodur", "Homux", "HopperTick", "Hydraq", "Impacket", "Kaba", "Korplug", "LadonGo", "MQsTTang", "McRAT", "MdmBot", "Mimikatz", "NBTscan", "NetSess", "Netview", "Orat", "POISONPLUG.SHADOW", "PUBLOAD", "PVE Find AD Users", "PlugX", "Poison Ivy", "PowerView", "QMAGENT", "RCSession", "RedDelta", "Roarur", "SPIVY", "ShadowPad Winnti", "SinoChopper", "Sogu", "TIGERPLUG", "TONEINS", "TONESHELL", "TVT", "TeamViewer", "Thoper", "TinyNote", "WispRider", "WmiExec", "XShellGhost", "Xamtrav", "Zupdax", "cobeacon", "nbtscan", "nmap", "pivy", "poisonivy" ], "source_id": "ETDA", "reports": null }, { "id": "b3e954e8-8bbb-46f3-84de-d6f12dc7e1a6", "created_at": "2022-10-25T15:50:23.339976Z", "updated_at": "2026-04-10T02:00:05.27483Z", "deleted_at": null, "main_name": "Sandworm Team", "aliases": [ "Sandworm Team", "ELECTRUM", "Telebots", "IRON VIKING", "BlackEnergy (Group)", "Quedagh", "Voodoo Bear", "IRIDIUM", "Seashell Blizzard", "FROZENBARENTS", "APT44" ], "source_name": "MITRE:Sandworm Team", "tools": [ "Bad Rabbit", "Mimikatz", "Exaramel for Linux", "Exaramel for Windows", "GreyEnergy", "PsExec", "Prestige", "P.A.S. Webshell", "AcidPour", "VPNFilter", "Neo-reGeorg", "Cyclops Blink", "SDelete", "Kapeka", "AcidRain", "Industroyer", "Industroyer2", "BlackEnergy", "Cobalt Strike", "NotPetya", "KillDisk", "PoshC2", "Impacket", "Invoke-PSImage", "Olympic Destroyer" ], "source_id": "MITRE", "reports": null } ], "ts_created_at": 1775434784, "ts_updated_at": 1775792228, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/e175cdec1fa4af63c84dc467584f080db3777a16.pdf", "text": "https://archive.orkl.eu/e175cdec1fa4af63c84dc467584f080db3777a16.txt", "img": "https://archive.orkl.eu/e175cdec1fa4af63c84dc467584f080db3777a16.jpg" } }