Аналитики обнаружили изощренную кампанию злоумышленников, скрывающих полезную нагрузку от песочниц

Атака была инициирована с IP-адреса 31.170.22[.]205 через сервис SSH. Злоумышленник выполнил серию команд для загрузки и исполнения скриптов. Интересно, что начальные попытки скачивания так называемых вредоносных бинарных файлов, предназначенных для различных архитектур ARM, привели к получению файлов с идентичными хэшами. Последующий анализ метаданных показал, что эти файлы на самом деле являются стандартным калькулятором Windows (calc.exe). Таким образом, атакующий использовал подмену, чтобы скрыть реальные артефакты от автоматических систем сбора угроз.

Более глубокий анализ был сосредоточен на основном образце для архитектуры x64, названном "whisper.x64". Это stripped ELF-бинарник, лишенный отладочных символов, что усложняет статический анализ. При первичной загрузке на VirusTotal файл был помечен несколькими сканерами как агент для DDoS-атак. Дизассемблирование в Ghidra позволило выявить ключевые строки, указывающие на взаимодействие с командным сервером (C2) по адресу 31.170.22[.]205 через скрипты "add.php" и "ping.php".

Изучение системных вызовов в бинарнике выявило сложные техники уклонения. Программа использует прямой системный вызов "sys_rt_sigtimedwait" для реализации функции задержки, что позволяет обходить хуки, расставленные средствами мониторинга в стандартных библиотечных функциях, таких как "nanosleep()". Кроме того, в коде присутствует проверка реального прошедшего времени, типичный прием для обнаружения песочниц, где время может ускоряться или пропускаться.

Основная логика вредоносной программы оказалась ограниченной. После прохождения проверки времени образец регистрируется на C2-сервере, отправляя информацию о системе. Затем он начинает отправлять "сердечные ритмы" (heartbeat) на сервер каждые 300 секунд. Этот цикл продолжается ровно 576 итераций, что ограничивает общее время работы программы 48 часами. В проанализированной сборке не было обнаружено функционала для установки постоянного доступа (persistence) или выполнения дополнительных вредоносных команд.

Такое поведение позволяет выдвинуть несколько гипотез о целях кампании. Наиболее вероятно, что это образец-маяк (beacon), предназначенный для сбора телеметрии и проверки устойчивости. Оператор может отслеживать входящие ping-запросы с зараженных машин. Последовательные и стабильные отклики в течение двухсуточного окна, вероятно, служат сигналом для развертывания основной, более опасной полезной нагрузки только на тех системах, которые не являются песочницами. Этот подход, известный как "отложенная доставка", эффективно защищает основные инструменты атакующего от преждевременного обнаружения и анализа.

Альтернативное объяснение заключается в том, что злоумышленники тестируют детектируемость своего кода или собирают данные о средах. Однако отсутствие попыток обеспечить постоянное присутствие в системе делает эту цель менее вероятной, так как для сбора телеметрии существуют более эффективные методы. Обнаруженная кампания подчеркивает растущую тенденцию среди APT-групп (Advanced Persistent Threat, рус. - сложная постоянная угроза) и операторов вредоносного ПО к использованию многоэтапных и терпеливых атак, что значительно усложняет работу автоматизированных систем защиты.

Полный набор артефактов, включая образцы и скрипты, был опубликован исследователем на GitHub для дальнейшего изучения сообществом информационной безопасности. Этот инцидент служит напоминанием о необходимости многослойной защиты, сочетающей автоматический анализ с экспертной проверкой подозрительной активности, особенно в таких критичных сервисах, как SSH.

IPv4

• 31.170.22.205

URLs

• http://31.170.22.205/bins/whisper.armv5
• http://31.170.22.205/bins/whisper.armv6
• http://31.170.22.205/dl401
• http://31.170.22.205/dl402
• http://31.170.22.205/dl403
• http://31.170.22.205/dl404
• http://31.170.22.205/dl405
• http://31.170.22.205/dl406
• http://31.170.22.205/dl407
• http://31.170.22.205/dl408

MD5

• 0141530b319ae85b8a321c0f37fe4536
• 0acc92acd7173c07adca2724f756903f
• 0aeafd2a927b114968e13996146bf1e6
• 113c58f6001e066133c18f23323d2e42
• 1a5026d886feef96dc4a85242ab46934
• 37ec8d450e271e5210eabd9a17f26165
• 3d04598446dcd5e131acdb0302bec1c5
• 45e6a27909ba67d6b47737979f5ae7aa
• 55b6789c3079a6ab30da2746aecd7c3a
• 6aac150ae7fa47eed95773ecef48e9e9
• 73f8f8dee9968d2f05e2048e522c2e24
• 79450d60f5645d1db817fe0f049bf23f
• 79ce22cf1422673f49f6e3f688bc4b43
• 7baafc2b2c2701aee62c6c123267d12d
• 86b28251973b1610607647cec814fdfd
• 8778754c60e1bc8416455c9f8a1d2f4e
• 8b5dcce19b8e3b4706e6cbc179c5fbba
• 8ccbf12167f7a456f9c2469213f5c7d0
• 9fa049f03ae5d6f0d641905ec41b9c8f
• aa692b9229eff18b45f9314c3ae67efe
• ab62662534cf27d552d9c56f45a4c8f5
• cb7136b08ad202542916b926743c8572
• ccb656b03f371fba70e15c66994b38e4
• d16afa06e68d9cf5c33763a6b16abdf9
• d9e319a9943dbc58444e24204cd4cabf
• e9a3f1a9fb9cd4be015acf85fa5c265c
• f4e3330404c3eabe5a013f8d4d7ed1f2
• f75497302cb9fcfa10c1df36d7f36696

SHA1

• 017ea927cebe704ee654e989a9d130ccedee389f
• 04702030d35e48a7860cf090dff92f0b5bed2b46
• 04d6d9dceb809bd1ad4577cac428079832dbde8e
• 0a52fa8459700f6eaa99e556249fc9695b37e87b
• 19a23a872bd837e6562eb46f7a8455a5e7a5e559
• 29431dea58696853a626ff1e9344943ab3c46d9d
• 3539b79bba9b89a815730e8996a64373456651b9
• 375b2dbf3825986430c523bfa347f7c7ebfd5663
• 4d6c2acdd76ab9ef87a915cb1557c7fb6a2d4f18
• 55a028804c755c5fe6693665e7c4ab92a7e0a9c2
• 69183904386383e4252d678e63666aaacdf96d7e
• 6dccec4b4ebdf575decb0876df0b3996ae584024
• 7485c337a9cc53d611ba5896d1371681d7713086
• 7bb20cf6a8c9d52d80e91556cf808accef21e1ae
• 8c069c25e1ed31852605cc3704b9e1da71ffba94
• 99e2e4256c8911088a4984e59d2453b12992f7c3
• 9cfb15426571318df9984e0a301fc69ef39b9938
• b584bead9ce47edfc6633a99afc3f0a152450ba7
• b80d4cccd1e5e538eb7dcf77e83e3c9086509deb
• bc35a88d81e05f8b744b4b1db0077a3386957855
• bdec23adde267344166e3fcaeca07cf0a48a4a59
• e153935d6867676bc893c2c489679153350ad843
• e29c779a4a21c06e42d21567e4223b02d0291af2
• e3d1d9d188b896eda396bdaf8b35f197c21f6664
• e8837766ebd8c57abe34aa739650ec1bd0965577
• eb4bb600b15bf49adfa09edd7895a14c02c0fec8
• f3a26cfcb56e92eac461319a18adab4ebf01bf49
• f49a045fd3a5f9b068c40f900f26ea801cd14241

SHA256

• 00a290ee2458e38a0ec78be1414f651612c51831ff741cb40d5c6a11b29a6d7c
• 0f1fd9f0a99693ec551f7eb93b3247b682cb624211a3b0c9de111a8367745268
• 1a60918639c961f6814f4dc74751a926361841b66c837d544697be1d3f42594e
• 1afcdc3210b47356a0f59eeffbc2f7be22c1dd7aa2cc541c0eb20db29da8280e
• 1d51c313c929d64c5ebe8a5e89c28ac3e74b75698ded47d1bc1b0660adc12595
• 2679b37532e176d63c48953cb9549d48feb76f076222cb6502034b0f72ca7db1
• 31f781726cc8cfc002b847fc0f05a7e28ebecea95f5a03b1cdeb63cce3e9ed8c
• 326952154ef5a81c819d67f9408e866af5fe2cdb3024df3ef1d650a9932da469
• 3611fb87865bd967b6a1b2c3450e68cec14ec90abd9a790147e1544896e7b624
• 3615d10d1ef6e57b66aa653b158cd8d57166d69cbc4c90c2b7b9dd29820fcc64
• 3ac847bc1351ea5275d30cf9186caf607021d7f1da1a4cafeff6886b87844f36
• 4dd0005c6e6d4eca722ed02fec17a689828754a66a107272c5cd62f2fec478e1
• 5f7dff5b5bdc2a12506cfb771e94b6ea26fec8a78f65cf927f361a39322036f4
• 61db3883d792b518450a4a67cfaa4d14baec59239a967ffb30c7a116a39f00e6
• 7234970698fab486e210a65aa2a3d3daebd3eebcf4bf016e9670fa725c07d76a
• 7a2af6f8c55bfc6d0bb259b4df37641cfb0dc9a1c94e0955784cfd9b34dc08ef
• 9033caaa07477bbed8ccd9f130fd8353a81143db44555b734ed1547ef368a8dd
• 90bf143a03e0cb6686c32a8a77dbdad6a314a16b7991823f45f7d9cb22ba51bc
• 90f5ccd40e0f737eb40dcf292f202c7c70f1cdc2d33bd6718c0b286007f3ce24
• 938205ed2f664fc330e20580799445182ba840672ef8bd75ae7629e07a460a79
• af7893318f1fe0d60cff62dbebe434e5f8c42bf1b338db23858177e880894574
• b2b811bbfe06d0edba85e0b0d42dbffb3714dee5bdd44426a1cb4589874d3234
• b4658234a5c300bce3fe410a55fc87a59e4be7d46f948eaff389c4c16016afaa
• c43f32a066112fd87f43895515d27116e40688ae47b02ce0a5b379672830a136
• c92038d168aa088997ea982aadf1d455ac4bc89332916a576117273610f3069f
• d37b334ec94b56236dc008108d4a9189019f1849fb010dcf08cfcf1a7d199b53
• fa96cf3b0022711627b97d569f0c6e28cfd62e7051fdce3f0165f8dd5c4ec760
• ff08d2c7f8b5679add11dd4a297dd40a0d597e92e307ccd9c0d36366b59e3c6f