BellaCiao - это семейство вредоносных программ на базе .NET, которые сочетают в себе веб-шеллы и возможность создания секретных туннелей. Он был впервые обнаружен в конце апреля 2023 года и связан с APT-группой Charming Kitten. Образцы BellaCiao раскрывают информацию через пути PDB, включая схему версионирования, что помогает исследователям отследить эволюцию и развитие вредоносной программы.
BellaCiao Malware
Недавнее расследование взлома, где использовался образец BellaCiao, выявило наличие другого подозрительного образца на том же компьютере. Дальнейший анализ показал, что это переработанная версия BellaCiao, написанная на C++. Образцы BellaCiao демонстрируют описательные пути PDB, содержащие строку "MicrosoftAgentServices", и использование цифр в конце может указывать на версионность вредоносной программы.
Интересно отметить, что ранние образцы BellaCiao не имели такой схемы версионирования, что свидетельствует о развитии проекта с течением времени. Также был обнаружен вариант BellaCPP, не связанный с BellaCiao, написанный на C++ и предназначенный для работы в качестве службы Windows.
Анализ кода показывает, что он выполняет шаги, очень похожие на поведение ранних версий BellaCiao. Код также содержит инструкции по расшифровке определенных строк, использованию GetProcAddress для разрешения функций и генерации домена для связи с C&C-сервером.
Однако, не удалось получить файл D3D12_1core.dll, указанный в коде. В целом, исследование позволяет лучше понять характеристики и эволюцию BellaCiao, а также связанные с ним варианты, что может помочь в разработке стратегий защиты от этой угрозы.
Indicators of Compromise
Domains
- systemupdate.info
MD5
- 103ce1c5e3fdb122351868949a4ebc77
- 14f6c034af7322156e62a6c961106a8c
- 222380fa5a0c1087559abbb6d1a5f889
- 28d02ea14757fe69214a97e5b6386e95
- 36b97c500e36d5300821e874452bbcb2
- 44d8b88c539808bb9a479f98393cf3c7
- 4c6aa8750dc426f2c676b23b39710903
- 8ecd457c1ddfbb58afea3e39da2bf17b
- ac4606a0e10067b00c510fb97b5bd2cc
- ac6ddd56aa4bf53170807234bc91345a
- e24b07e2955eb3e98de8b775db00dc68
- febf2a94bc59011b09568071c52512b5