Главная страница » Индикаторы компрометации
0
7 месяцев
Индикаторы компрометации

Zloader 2.9.4.0: новый уровень угрозы с DNS-туннелированием и интерактивной оболочкой

remote access Trojan

Zloader, троянец, известный также под именами Terdot, DELoader или Silent Night, продолжает эволюционировать, представляя всё большую угрозу для корпоративных сетей. Основанный на утечке исходного кода банковского трояна Zeus, Zloader изначально использовался для кражи финансовых данных, но со временем был перепрофилирован в инструмент для первоначального доступа в корпоративные сети с последующим развертыванием вредоносных программ, включая программы-вымогатели.

Описание

После почти двухлетнего перерыва Zloader вернулся с обновленной версией 2.9.4.0, в которой разработчики внесли серьёзные изменения в методы обфускации, механизмы антианализа и алгоритмы генерации доменных имён (DGA). Однако главными нововведениями стали интерактивная оболочка для управления заражёнными системами и система DNS-туннелирования для скрытой передачи данных между ботнетом и серверами управления (C2).

DNS-туннелирование: новый канал связи

Одной из ключевых особенностей Zloader 2.9.4.0 является использование DNS-туннелирования для обхода традиционных средств защиты. В отличие от стандартных HTTP- или HTTPS-запросов, DNS-трафик редко подвергается глубокому анализу в корпоративных сетях, что делает его идеальным каналом для скрытого обмена данными.

Zloader инкапсулирует зашифрованные команды и данные в DNS-запросы типа A и AAAA, используя пользовательский протокол. В расшифрованной конфигурации трояна обнаружены два новых раздела, связанных с этой функцией. Первый содержит HTTPS-URL, используемый в качестве TLS Server Name Indication (SNI) при установке защищённого соединения, а второй - список DNS-серверов, через которые осуществляется связь с C2.

Интерактивная оболочка: расширенные возможности управления

Ещё одним опасным нововведением стала интерактивная оболочка, поддерживающая более десяти команд. Это позволяет злоумышленникам не только загружать дополнительные модули, но и напрямую управлять заражённой системой, что особенно опасно в контексте атак с использованием программ-вымогателей.

Эволюция методов антианализа

Zloader продолжает совершенствовать механизмы защиты от обнаружения. В новой версии разработчики отказались от статического шифрования конфигурации с жёстко заданным ключом RC4 в пользу динамического вычисления ключа через XOR-операции. Кроме того, в тестовых сборках трояна отсутствует проверка окружения через реестр, что может указывать на адаптацию под различные среды исполнения.

Изменение векторов атаки: от массового спама к целенаправленным атакам

В последнее время операторы Zloader перешли от массовых спам-кампаний к более персонализированным методам заражения, включая голосовые фишинговые атаки (vishing) и использование инструментов удалённого управления (RMM), таких как AnyDesk, TeamViewer и Microsoft Quick Assist. Это делает атаки менее заметными и более эффективными, особенно при проникновении в корпоративные сети.

Кроме того, в цепочке заражения был обнаружен дополнительный модуль - GhostSocks, который, вероятно, использовался для развёртывания Zloader. Это подтверждает тенденцию к усложнению атак и использованию многоступенчатых схем заражения.

Выводы

Zloader 2.9.4.0 демонстрирует, что разработчики вредоносного ПО продолжают совершенствовать свои инструменты, делая их более скрытными и функциональными. Внедрение DNS-туннелирования и интерактивной оболочки значительно расширяет возможности злоумышленников, а переход к целенаправленным атакам усложняет их обнаружение.

Корпорациям и частным пользователям необходимо усилить защиту, уделяя особое внимание мониторингу DNS-трафика, ограничению использования RMM-инструментов и обучению сотрудников распознаванию социальной инженерии. Безопасность больше не может ограничиваться традиционными методами защиты - требуется комплексный подход, учитывающий новые тактики киберпреступников.

Индикаторы компрометации

IPv4

  • 45.61.152.154

Domains

  • bigdealcenter.world
  • ns1.brownswer.com
  • unitedcommunity.world

SHA256

  • 17a9900aff30928d54ce77bdcd0cdde441dd0215f8187bac0a270c5f8e4db9cc
  • 22c5858ff8c7815c34b4386c3b4c83f2b8bb23502d153f5d8fb9f55bd784e764
  • 2794a703aff5549a89834d0ef8ad4b97ce12e27fa37852dd2a504e5a0078b093
  • 3610f213db22a9de07dbbed4fbf6cec78b6dd4d58982c91f3a4ef994b53a8adc
  • 40b4bb1919e9079d1172c5dee5ac7d96c5e80ede412b8e3ef382230a908733cc
  • 49405370a33abbf131c5d550cebe00780cc3fd3cbe888220686582ae88f16af7
  • 603bd9ee50f7dc6de37f314bda227561f0fd67cdebf53a672ea32cce73a2efd3
  • a9f2c4bc268765fc6d72d8e00363d2440cf1dcbd1ef7ee08978959fc118922c9
  • cbff717783ee597448c56a408a066aaae0279dd8606e6d99e52a04f0a7a55e03
  • d212042504f851253347754c3d3624628e7ebf7c0bbd8160220bf6edcff24f16
  • db34e255aa4d9f4e54461571469b9dd53e49feed3d238b6cfb49082de0afb1e4
  • ec8414631644269ab230c222055beb36546ff3ee39cebbbfa7e794e2e609c8d9
  • f1a9ef13784ba05628c12decbbe44e7708793d1a707f9fbc2475c42e1ec2cb7d
Комментарии: 0
Похожие записи
0
25.12.2023
Индикаторы компрометации

PikaBot Trojan IOCs - Part 9

remote access Trojan
Pikabot - новое семейство вредоносных программ, состоящее из загрузчика/установщика, загрузчика и основного компонента бэкдора. Несмотря на раннюю стадию разработки, оно уже демонстрирует передовые техники уклонения, внедрения и антианализа.