Механизм SonicWall RTDMI успешно обнаружил и обезопасил пользователей от распространения вредоносной программы DarkGate в варианте "6.6".
DarkGate - это троян для удаленного доступа, который активно используется злоумышленниками с 2018 года. Троян продаётся как услуга на подпольных форумах и постоянно обновляется.
DarkGate Trojan
Вредоносная программа DarkGate поддерживает множество функций, включая борьбу с виртуальными машинами, антивирусами, задержку выполнения и многое другое. Она также может выполнять более 65 команд, получаемых с сервера команд и контроля.
Злоумышленники распространяли DarkGate через фишинговую кампанию, в которой казалось бы безопасные PDF-файлы были заражены вредоносным кодом. Вложенные в эти файлы скрипты VBScript загружали вредоносный файл с сервера команд и контроля, затем выполняли его путем использования команд WMIC.
После декомпиляции файла сценария "script.a3x" было обнаружено, что он содержит шестнадцатерично закодированные строки байтов шелл-кода, за которыми следовали двоичные байты загрузчика DarkGate. Шелл-код обходил PEB и разрешал адреса API, используя хэширование имен API. Затем он передавал управление точке входа в загрузчик DarkGate.
Загрузчик DarkGate расшифровывал зашифрованные байты DarkGate с помощью ключа "GDrdcpJy". Выполнившийся вредоносный код загружал двоичный файл DarkGate в память и переадресовывал управление ему.
Вредоносная программа DarkGate инициализировала свою версию "6.6" и загружала несколько необходимых DLL-библиотек. Она также вызывала модуль, отвечающий за инициализацию ключа шифрования, используемого для шифрования и расшифровки данных.
Indicators of Compromise
SHA256
- 0a3764e9972dcdd3819f4728038d094a28a1ccff43d7d9e413eab794c9ecbe05
- 49a46f2ff414ad11b2b623a7dc811002bf78979b5db1fb6f03334fd1fa20f8a6
- 6c8e82b582f55a03277427e757331e5aa53dcf6656785dcb44f2958ef5516863
- 83f1fab236357817270f995a6e3e32f90661dad6d625ad1e1f16b06c248da1d1
