Команда исследователей SonicWall Capture Labs выявила новую опасную схему атак, связанную с внедрением управляемого кода .Net без использования файлов в 64-битные процессы. В центре внимания оказался известный шпионский вредонос AgentTesla, который теперь использует более изощренные методы заражения. В качестве начального вектора атаки злоумышленники применяют документ Microsoft Word с активированным VBA-макросом. Как только пользователь открывает файл и разрешает выполнение макроса, запускается цепочка вредоносных действий.
Описание
Первым этапом атаки является загрузка из интернета бинарного файла, написанного на языке Rust, который содержит вредоносную полезную нагрузку. После его запуска в систему внедряется шелл-код, ответственный за дальнейшее распространение AgentTesla. Этот код использует сложные механизмы обхода защиты, включая XOR-дешифрование для расшифровки основной вредоносной нагрузки.
Особенностью новой атаки является применение методов, позволяющих избежать обнаружения системами мониторинга угроз. Шелл-код не только загружает необходимые DLL-библиотеки, но и модифицирует API-функции, чтобы затруднить анализ его поведения. Одним из ключевых элементов атаки стало отключение трассировки событий Windows (ETW), что делает вредонос практически невидимым для стандартных средств защиты.
Еще одной опасной особенностью является использование CLR-хостинга, который позволяет вредоносной программе исполнять управляемый код .NET прямо внутри нативного процесса. Это усложняет обнаружение, так как многие системы защиты фокусируются на анализе внешних исполняемых файлов, а не на инъекциях кода в уже работающие процессы.
Эксперты SonicWall отмечают, что подобные атаки становятся все более распространенными, поскольку злоумышленники активно развивают методы обхода защитных механизмов. Использование Rust для создания вредоносных бинарных файлов также усложняет анализ, так как этот язык программирования пока не так широко изучен в контексте киберугроз, как, например, C++ или C#.
Для защиты от подобных атак специалисты рекомендуют пользователям соблюдать осторожность при открытии вложений в электронных письмах, особенно если они содержат макросы. Также важно регулярно обновлять антивирусное ПО и использовать решения, способные обнаруживать аномальное поведение процессов, включая инъекции кода и попытки отключения систем мониторинга.
Компании, работающие с конфиденциальными данными, должны обратить особое внимание на обучение сотрудников основам кибербезопасности, поскольку социальная инженерия остается одним из основных способов распространения подобных угроз. Внедрение систем анализа поведения (UEBA) и расширенного мониторинга процессов также может помочь в своевременном выявлении и блокировании атак, подобных новой версии AgentTesla.
Исследователи продолжают изучать эту угрозу, чтобы разработать более эффективные методы противодействия. Пока же пользователям и организациям остается полагаться на многослойную защиту и осторожность при работе с подозрительными файлами.
Индикаторы компрометации
URLs
- https://New-Coder.cc/Users/shellcodeAny_20240329011339585.bin
- https://New-Coder.cc/Users/signed_20240329011751156.exe
MD5
- 4521162d45efc83fa76c4b5c0d405265
- 6999d02aa08b56efe8b2dbbd6fdc9a78
- cd485bf146e942ec6bb51351fa42b1ff
- d99020c900069e737b3f4ab8c6947375
SHA256
- 02c03e2e8ca28849969ae9a8aaa7fde8a8b918b5a29548840367f3ecac543e2d
- 7b6867606027bfca492f95e2197a3571d3332d59b65e1850cb20aa6854486b41
- a6562d8f34d4c25a94313ebbed1137514eed90b233a94a9125e087781c733b37
- f00ed06a1d402ecf760ec92f3280ef6c09e76036854abacadcac9311706ed97d
