Агент Tesla усиливает скрытность: многоступенчатая атака с использованием полного исполнения в памяти и обфускации

В мире информационной безопасности некоторые угрозы демонстрируют поразительную живучесть, эволюционируя и адаптируясь к современным системам защиты. Программа-шпион Agent Tesla, известная уже несколько лет, является ярким примером такой персистентной угрозы. Новый анализ демонстрирует, как злоумышленники, включая малоквалифицированных, используют сложную многоэтапную цепочку заражения, сочетающую фишинг, мощные техники обфускации и, что критически важно, полное исполнение вредоносного кода в памяти операционной системы, что позволяет избежать записи файлов на диск. Эта тактика значительно затрудняет обнаружение для традиционных антивирусных решений, ориентированных на сигнатуры файлов.

Описание

Кампания начинается с классического, но от этого не менее эффективного, фишингового письма. Злоумышленники используют деловую тематику, чтобы вызвать у целевого сотрудника чувство срочности. Тема письма, например, «New purchase order PO0172» («Новый заказ на покупку PO0172»), имитирует рутинный документооборот. Вложение представляет собой архивный файл формата RAR с соответствующим названием. Внутри архива находится файл с расширением .jse (JScript Encoded) - это обфусцированный скрипт, выступающий в роли загрузчика первой стадии. Использование скриптовых форматов, а не исполняемых .exe-файлов, является распространённым методом обхода базовых почтовых фильтров.

Когда жертва запускает этот JSE-файл, активируется вторая стадия атаки, направленная на скрытность. Скрипт обращается к стороннему файловому хостингу, в данном случае catbox[.]moe, чтобы загрузить следующий компонент - скрипт PowerShell (.ps1). Ключевая особенность здесь - этот скрипт зашифрован. Для его расшифровки прямо в памяти системы используется алгоритм AES-CBC с заполнением PKCS7. Специальная функция, например, "Invoke-AESDecryption", выполняет дешифрацию, не оставляя расшифрованного текста скрипта на жёстком диске. Это первый важный рубеж, где атака уходит от традиционных следов на диске в область оперативной памяти.

После успешной расшифровки в памяти запускается загруженный скрипт PowerShell, который реализует одну из наиболее продвинутых техник уклонения - Process Hollowing («опустошение процесса»). Этот метод позволяет скрыть выполнение вредоносного кода под видом легитимного системного процесса. Скрипт выбирает в качестве цели доверенную системную утилиту, такую как "Aspnet_compiler.exe" из директории .NET Framework. Далее он создаёт этот процесс в приостановленном состоянии, затем «вычищает» его собственную память и замещает её вредоносным кодом Agent Tesla, который также доставляется в виде Base64-кодированных сборок .NET прямо внутри скрипта. В результате вредоносная функциональность выполняется в контексте совершенно законного процесса Windows, что серьёзно осложняет задачу для средств безопасности, отслеживающих подозрительные запуски.

Прежде чем приступить к своей основной задаче, внедрённый код выполняет серию проверок окружения, или «проверок на вменяемость», направленных на обнаружение виртуальных машин и средств анализа. Зловред использует инструментарий WMI для определения производителя системы, ища такие строки, как «VMware», «VirtualBox» или «Microsoft Corporation» (что может указывать на Hyper-V). Кроме того, он проверяет наличие в системе специфических библиотек (DLL), связанных с антивирусным программным обеспечением и песочницами, например, "snxhk.dll" (Avast), "SbieDll.dll" (Sandboxie) или "cmdvrt32.dll" (Comodo). Если эти проверки указывают на то, что код выполняется в контролируемой среде анализа, он может прекратить работу, чтобы не раскрывать свою полную функциональность и данные о командном сервере.

Только пройдя все эти проверки, Agent Tesla приступает к своей главной цели - краже конфиденциальных данных. Модуль действует системно: извлекает сохранённые пароли и cookies из популярных веб-браузеров, собирает контакты из почтовых клиентов и другую информацию, упаковывая всё в текстовые файлы. Для эксфильтрации похищенных данных злоумышленники используют простой, но эффективный канал - электронную почту по протоколу SMTP. Собранная информация отправляется прямо на контролируемый атакующими почтовый сервер. Анализ одного из таких серверов (mail[.]taikei-rmc-co[.]biz) выявил множество сообщений о неудачной доставке, что является характерным признаком активной крупномасштабной операции по вывозу данных.

Данный случай наглядно демонстрирует, почему угрозы класса Malware-as-a-Service («вредоносное ПО как услуга»), такие как Agent Tesla, остаются крайне опасными. Они предоставляют в распоряжение даже неискушённых злоумышленников инструментарий, по сложности сопоставимый с инструментами продвинутых постоянных угроз (APT). Опасность заключается не в абсолютной новизне каждой техники, а в их грамотной комбинации, нацеленной на максимальную скрытность: от обфускации начального загрузчика до рефлексивной загрузки сборок .NET и «опустошения» легитимных процессов.

Для специалистов по информационной безопасности этот инцидент служит напоминанием о необходимости многослойной защиты. Эффективное противодействие подобным атакам требует не только сигнатурного анализа, но и поведенческого детектирования, отслеживания аномалий в работе процессов (например, нехарактерной сетевой активности для "Aspnet_compiler.exe"), а также использования решений класса EDR (Endpoint Detection and Response), способных анализировать события на уровне памяти и процессов. Кроме того, критически важны регулярное обучение сотрудников для распознавания фишинговых атак и политики, ограничивающие выполнение скриптовых файлов из ненадёжных источников.