Аналитики Cato CTRL заблокировали атаку с применением нового импланта TencShell на базе открытого фреймворка Rshell

Особую тревогу вызывает вектор атаки: она пришла не напрямую в сеть компании, а через учётную запись стороннего пользователя. Такие подключения обычно считаются доверенными, и именно это делает их привлекательной целью. В данном случае атакующий, вероятно, скомпрометировал учётную запись третьей стороны, а затем использовал её для доставки вредоносного кода на узел, расположенный в индийском подразделении производителя. Специалисты Cato CTRL подчёркивают, что подобный сценарий превращает законные деловые связи в мост для атаки, что существенно усложняет обнаружение.

Цепочка заражения оказалась многоступенчатой и хорошо продуманной. Всё началось с того, что на целевую машину попал так называемый дроппер - небольшой исполняемый компонент. Его задача состояла не в том, чтобы сразу развернуть полный фреймворк, а в том, чтобы скрытно получить следующий этап полезной нагрузки. Этот дроппер, как обнаружили аналитики Cato CTRL в ходе расследования, связался с сервером управления злоумышленников и загрузил shellcode, упакованный в файл, имитирующий web-шрифт формата .woff. Подобные файлы - обычные ресурсы на любом сайте, и их загрузка редко вызывает подозрения у систем защиты.

Следующий этап использовал открытый фреймворк Donut, который предназначен для генерации shellcode, выполняемого непосредственно в памяти. Благодаря Donut вредоносный код не записывался на диск, а загружался прямо в оперативную память процесса, что позволяет обойти многие антивирусные решения. После этого загрузчик изменил атрибуты выделенной области памяти на исполняемые и запустил shellcode, который отразил загрузку и выполнение уже самого импланта TencShell. Всё это происходило внутри одного и того же процесса, без инъекций в другие приложения - такую активность заметить ещё сложнее.

Имплант TencShell, по сути, является кастомизированной версией открытого фреймворка Rshell. Аналитики назвали его так из-за двух характерных черт: "Tenc" указывает на имитацию путей, похожих на API китайской компании Tencent, а "Shell" - на удалённое управление. В коде импланта были найдены следы проекта Reacon, что подтверждает его происхождение. Структура модулей внутри TencShell показывает, что это не просто бекдор, а полноценный инструмент для пост-эксплуатации. В нём есть модули для общения с сервером, выполнения команд, работы с системными службами, профилирования системы и взаимодействия с Windows.

Особого внимания заслуживает механизм связи с сервером управления. Вместо очевидных путей callback имплант использовал структурированные адреса, похожие на запросы к обычным web-API. Такой подход помогает вредоносному трафику сливаться с легитимными обращениями к облачным сервисам. Аналитики отметили, что повторяющиеся шаблоны URI и порты на разных серверах злоумышленников указывают на подготовку более широкой кампании, а не единичной атаки.

Если бы имплант успешно установил связь, последствия могли быть катастрофическими. TencShell обладает широким набором возможностей: удалённое выполнение команд, запуск .NET-сборок и других исполняемых файлов прямо из памяти, поддержка SOCKS5-прокси для перемещения по внутренней сети, перехват экрана, кража данных из браузеров и даже обход контроля учётных записей (UAC). В коде обнаружены функции для проверки состояния рабочей станции, очистки следов в Chrome и Edge, а также механизм закрепления в системе. Для этого имплант создаёт запись в реестре Windows с именем OneDriveHealthTask, что выглядит как легитимная задача обслуживания.

К счастью, атака была заблокирована на ранней стадии. Специалисты Cato CTRL использовали корреляцию множества сигналов: подозрительный URL, поведение по загрузке полезной нагрузки, маскировка под шрифт и повторное использование инфраструктуры. Система управления безопасностью XOps отобразила инцидент в виде связной истории, что позволило команде MDR (управляемого обнаружения и реагирования) быстро подтвердить попытку вторжения и перехватить управление до того, как злоумышленник смог закрепиться.

Этот случай служит важным напоминанием: современным атакующим не нужно создавать уникальное вредоносное ПО с нуля. Открытые инструменты, такие как Rshell и Donut, при минимальной доработке превращаются в эффективные средства для кибершпионажа. Компаниям необходимо учитывать, что атаки могут исходить не только от внешних противников, но и через скомпрометированных партнёров. Особое внимание стоит уделять мониторингу сетевого трафика, который маскируется под обычные web-запросы, и внедрять решения, способные анализировать поведенческие аномалии, а не только сигнатуры. Только комплексный подход, включающий многоуровневую защиту и круглосуточное наблюдение, способен остановить такие скрытые угрозы на ранней стадии.

IPv4

• 192.238.134.166
• 45.115.38.27
• 45.64.52.242

Domains

• gin-tne-fahcesmukw.cn-hangzhou.fcapp.run

SHA256

• 01dc3e7e673b4f2682f29b19ecabf9a6ec9c3042c9b1cfb39dbdddf1dda680ab
• 065c54893e4777d52be6b7bf30b832d5ffd9d96fd178642a5828a364c0e904a0
• 065f5a605ac04d5f443089b65aa1393414ee38c4ee8f780e7d78c06b46504ae4
• 06776635e386d536b1b0fc21e6aa41865d44d83dae5e9b109868d71ca309eeaa
• 0fe91200a2bb4aed13b1a1ba4ec8fd4454566f5929ffed4f537d9a87c1bf1187
• 12c6d0e603386b81751d95b32d1698d794c99343abb06d066b0f6060e8690aca
• 12f76f48727916d6c05f53f8cd94915db5de5ffcbfa02c4807c27e090cfa47c1
• 1329be66458962dabfa20185c230439c57d32b90a20de791afdce9c15226fccb
• 147f86854690ba096f3797c623b66365d6adbf7140d7d7c3dcf746b83a4b6dac
• 1ba73df60e12b3feb8b5574e65cfceb6910460ab7fae2cf5554769fafdad049e
• 1d2e37b41d616ecb32b8bd2f2a52c792f1808fdc938574fc366d737b6f643c61
• 2012ff4d7c36e42d256d78c265f242d29a305af66686866c581ee96c2b05d5a6
• 2a010bd1061e11da6f5cf951a3ebd23503916e159e3d486cc722b4b8b4a099c9
• 31635e4667eba1ba3588e1bc9c05d18a78d9693c801e5176e6cddf74e0d5bcc2
• 37facbbd0047c19f4efdea75ccb9e3ec793cb9b1d7846afa4fb8e900d6e9ed95
• 3ffe3a6f328a6459624bd93edd206e2256b2753e17137cbc1530b91fa325ecac
• 4ae8de40153c66455d972e6e98fe06fb68db7301ba126557e96599527bc5509c
• 5ac484ec0846fff8f099b234dfd1602864300da8c68b01822c6036eb709fc584
• 5c02115b3f090551393cca3ce91fe837727d1c4586164c580759eb94387dba10
• 5d19c07e3fb7ac4ff56a23f6e658d691f381442b1db2f8c5f345563c1cdc8998
• 5ef76098be5ed1559b71ebd8d29cb32c1825991824051d8a641746e08bf9e1b3
• 5eff99959683480d2280c931e433af836adf6a8b7a8489b1af17cddcf480cf63
• 64944d2a6129631ff675c6dcfdd57a7e99a1e4dc41802cbd0eabcef3eb3e81c3
• 660af53acdc505f333f6d4f4269cec740a5eb05e41a4c7926742606b18f22d33
• 6de4da7919185f84212d02011e955530011b08c389408f2a012b81757c3d0c0f
• 710539554f065fe9a0bf6a6e32d3ea73ab3c797a033f8bfef57ad929bcdf9195
• 7170f3051cc9f4520e84f1ea3b599616d82be8e5087f19d8e2951fa6848924b3
• 73c24bafba21f871cc9d28de92ee7e4b9f9c8ec337279c14c1facdb9feeb7af4
• 746c4cd5fe3a8edd37d4b37b23af64b1086b5ea7c1ab0bcfd9c47e4e2e986518
• 750a707084839fe970266964957b8eaa7e25b4d9ca1050cd7ab19e4a2add707d
• 75b36769f0d36c05be74d41610d4af3f73397983ba746f8c569de6f23ee130e0
• 79340e589a69f5dc204d4073341a07e98a588d0401d18f34991d14b71a475063
• 7abc129482ccdf787b35b92b7d5b7ff2478e72fe516f4ceca0c02e23a1d34314
• 7f6bec5dd217151fcd03087a6e7ba1070f0fa603801fb128a4097076c9976d36
• 8363ff6bddfaf247318308f215ad53f3c77f218d4a6562b537aeaf7e9135d10f
• 8f5f4408998bbfc6987d9cb39216071c57c7b087f2867a504e83414ee5cfcd08
• 905ae6ac24225db221da346a1695e443ba4c57ea1c9066e8bac3e5fcb4156fc7
• 921e41190fed3437ca7a0d53e7590ccb0f1ab5d667532778fbda5664c657d712
• 943f952652fbc16923c0519449feeee11698304dac51268d4e6065146dcad69e
• 94f67819c0f7e200abf4b39fad2fd6fef227da15d939f21a657d1717ca2b3014
• 976f890ab0ee8aac613da2458d0069f00d0ebabc76f1fceb63e05b2113f6a449
• aaf49281b2f65390adc2e763af37fc4e3fe03b94af550927fc91141e0d6347db
• b5e0866368873b4c5eacc6df01114fc749cc32f507e9324bc6d763999371777d
• b77c8531ee45ffdfd63ef19aa1f1ae8b603b274f6951f7d8f4e725130bfca06d
• b7a5192a90c14a9a36e5a3565fed46becffa88dbc719e8ee396a0c9d46f5dde4
• c3ecb90c9915daa23aec51f93ff8665778866f0592b2413578c8ba9708df6091
• cdb9d76093d0938f30d93bcce4f58b13b4b21c9188eea387c6d9ec6f4cb4aad4
• d252aeabbf4cd9f336e83d1fa0042fcc2f74f45d4b8cbe2a8bfe790d4db0580d
• df5f74e1e0e5b0a0748de2efd86358293b4d368d171a926af6f14880d55adb57
• ed6058f0b0735ba56b781dea39353625fcb56bc3e77bf2d26a648511d754d216
• fdb5eca8f00e1802f3c9c0ca79f93a8419353f4ef2a0606bec39c4497da91035