Исследователи безопасности из Point Wild сообщили о новой кампании вредоносного ПО для Windows, которая использует многоступенчатую цепочку заражения для установления постоянного доступа в памяти скомпрометированных систем и кражи конфиденциальных данных.
Анализ показал, что вредоносное ПО полагается на стандартные компоненты Windows для выполнения и обеспечения постоянства, ограничивая количество артефактов, записываемых на диск. Деятельность, проанализированная командой Lat61 компании, включает модульный троян удаленного доступа (Pulsar RAT) на базе .NET, который поддерживает живое интерактивное управление оператором.
Зависимость вредоносного ПО от выполнения в памяти и использования легитимных системных утилит (living-off-the-land) ограничивает эффективность средств обнаружения на основе файлов, отметили исследователи в своем блоге.
«Вредоносное ПО демонстрирует продвинутые методы противодействия анализу, включая защиту от виртуальных машин, отладчиков и обнаружение внедрения процессов, наряду с обширным сбором учетных данных, возможностями наблюдения и удаленным управлением системой», — заявили они. «Украденные данные эксфильтруются в виде ZIP-архивов через Discord webhooks и Telegram-боты».
Начальный доступ и выполнение в памяти
Цепочка заражения начинается с небольшого пакетного скрипта, который обеспечивает постоянство через ключ автозапуска в реестре для конкретного пользователя. Вместо развертывания полного исполняемого файла скрипт запускает загрузчик на основе PowerShell, снижая вероятность немедленного обнаружения традиционными средствами безопасности конечных точек.
Этот загрузчик PowerShell декодирует и выполняет шеллкод, сгенерированный с помощью Donut, — фреймворка с открытым исходным кодом, обычно используемого для преобразования .NET-сборок в позиционно-независимый шеллкод. Шеллкод внедряет полезную нагрузку непосредственно в память, избегая необходимости записи исполняемого файла в диск.
Работая полностью в памяти после первоначального выполнения, вредоносное ПО ограничивает эффективность сканирования на основе файлов и статического анализа. Исследователи Point Wild отметили, что атака, маскирующаяся под обычную активность Windows, требует телеметрии, ориентированной на поведение или память.
После загрузки вредоносное ПО развертывает сильно обфусцированный .NET-компонент, который служит основной платформой выполнения для операции.
Возможности RAT и функциональность стилера
.NET-полезная нагрузка реализует троян удаленного доступа, который позволяет операторам напрямую взаимодействовать со скомпрометированными системами. В отличие от многих распространенных RAT, которые полагаются на периодические проверки, это вредоносное ПО поддерживает обработку команд в реальном времени, позволяя злоумышленникам выдавать инструкции и получать ответы почти мгновенно.
Такая интерактивная конструкция позволяет операторам выполнять разведку, манипулировать файлами, выполнять команды и динамически управлять постоянством в зависимости от того, что они наблюдают на зараженном хосте.
Наряду с функциональностью RAT, вредоносное ПО включает компонент кражи информации, который собирает конфиденциальные системные данные. Хотя в сообщении не было указано, к какому семейству вредоносных программ относится стилер, исследователи отметили, что он работает параллельно с RAT, позволяя продолжать сбор данных, пока операторы активно взаимодействуют с системой.
Постоянство, уклонение и смягчение последствий
Постоянство поддерживается за счет записей автозапуска в реестре и усиливается способностью вредоносного ПО восстанавливать выполнение в случае сбоя. Использование обфускации в .NET-полезной нагрузке еще больше усложняет обратную разработку и замедляет анализ.
Point Wild подчеркнул, что эффективность кампании обусловлена дисциплинированным использованием легитимных двоичных файлов (Living-off-the-land binaries), вредоносных нагрузок в памяти и обфусцированного управляемого кода. Вместе они затрудняют обнаружение.
Исследователи отметили, что для обнаружения этой активности требуется мониторинг поведения процессов и памяти, а не полагаться на индикаторы на основе файлов, включая отслеживание подозрительного выполнения PowerShell, внедрения шеллкода в работающие процессы и подозрительного постоянства через ключи автозапуска реестра. Быстрая изоляция хоста и реагирование в реальном времени были подчеркнуты для сдерживания интерактивной деятельности и ограничения кражи данных после подозрения на компрометацию.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
