Группа исследователей в ходе расследования многоэтапного вторжения, в рамках которого ранее были обнаружены сборщик логов PureLogs и криптор PureCrypter, идентифицировала и проанализировала новую, наиболее опасную полезную нагрузку. Угроза, получившая название VioletWorm (также известная как Violet RAT), представляет собой продвинутый троян удаленного доступа с модульной архитектурой и обширным набором функций, включая скрытый удаленный доступ, кражу данных и компонент программ-вымогателей. Этот инструмент развертывался в шести параллельных цепочках атаки вместе с восемью другими семействами RAT, но выделялся масштабом и использованием отдельной инфраструктуры командования и управления.
Описание
С технической точки зрения VioletWorm - это сборка .NET, доставляемая с помощью многоэтапных загрузчиков на Python. Внешний слой защищен шифрованием AES-256-CBC или RC4, а загрузка в память осуществляется через обфусцированный шелл-код Donut. Ключевой особенностью является его архитектура: основное приложение размером около 1.4 МБ служит диспетчером команд, содержащим обработчик на 8 тысяч строк промежуточного языка (IL) с 120 ветвями различных операций. Однако реальные вредоносные возможности - такие как шифровальщик, скрытый виртуальный сетевой компьютер (HVNC), кейлоггер, кража учетных данных и другие - реализованы в виде подключаемых библиотек (плагинов), которые доставляются сервером C2 непосредственно во время атаки и загружаются в память через механизм "Assembly.Load()".
Эта плагинная архитектура значительно усложняет статический анализ, поскольку большая часть вредоносной логики отсутствует в основном бинарном файле и может меняться оператором по требованию. Исследователям удалось выделить три различные сборки (от 10, 19 и 24 ноября 2025 года), которые использовали два разных домена C2 - "vijdklet.duckdns[.]org:7575" и "vigroup2125.duckdns[.]org:2125". Для сокрытия строк в коде применялась многоуровневая схема кодирования Base64 и XOR с ключом, хранящимся в самом бинарнике. Несмотря на попытки обфускации, протокол взаимодействия с C2 остался относительно простым - HTTP POST запросы без шифрования транспортного уровня (TLS), с ротацией заголовков User-Agent для маскировки под легитрафик.
Функциональность VioletWorm поражает своим размахом и охватывает практически все аспекты системного шпионажа и контроля. Помимо стандартных для RAT функций удаленной оболочки и управления файлами, троян включает модуль скрытого удаленного рабочего стола (HVNC), который может маскироваться под экран обновления Windows, захват видео с веб-камеры и аудио с микрофона, мониторинг активного окна, кражу данных из браузеров (куки, пароли, токены Discord), а также функцию криптографического клиппера для подмены адресов криптокошельков в буфере обмена. Отдельного внимания заслуживает компонент программ-вымогателей: команды шифрования и дешифрования файлов также реализованы в виде плагинов, что позволяет операторам гибко выбирать алгоритмы атаки.
Важным аспектом является связь с другими угрозами. Инфраструктура C2 для сборок от 10 и 19 ноября (IP-адрес 45.58.143[.]254) также использовалась вариантами PureLogs, что указывает на координацию действий одной группировкой. Кроме того, углубленный анализ кода выявил четкую связь VioletWorm с другим известным трояном - XWorm. Сравнение промежуточного языка показало, что VioletWorm является развитой форкой XWorm: ядро, включая реализацию шифрования AES, генерацию аппаратного идентификатора (HWID) и механизмы работы с сокетами, осталось практически идентичным. Однако автор VioletWorm значительно расширил набор команд, изменил схему шифрования строк и добавил плагинную архитектуру, превратив инструмент в более универсальную и опасную платформу.
На данный момент угроза остается малораспространенной. На момент публикации анализа образцы не были широко представлены в VirusTotal, а детектирование антивирусными вендорами носит в основном обобщенный характер (например, как "MSIL/XWorm.L" или "Gen:Variant.MSILHeracles"). Однако само появление такого инструмента в арсенале злоумышленников, связанных с кампаниями наподобие SERPENTINE#CLOUD, сигнализирует о росте сложности и модульности угроз. Использование плагинной системы позволяет быстро адаптировать функционал под конкретные цели, будь то корпоративный шпионаж или целевые атаки с требованием выкупа.
Для специалистов по информационной безопасности и инцидентам (IR, Incident Response) данный случай подчеркивает важность мониторинга не только сетевой активности на предмет известных индикаторов компрометации (IoC, Indicators of Compromise), но и анализа аномального поведения внутри инфраструктуры. Ключевыми маркерами для обнаружения VioletWorm могут служить исходящие HTTP-запросы на нестандартные порты (7575, 2125) с определенным разделителем "XSXSXSX" в теле, попытки создания мьютексов с именами "aXTyo1HpFXkKUYoL" или "H3n0qlXPeIv1umQI", а также активность, связанная с загрузкой сборок .NET в память легитимных процессов. Блокировка доменов "duckdns.org" на периметре и строгий контроль за установкой и запуском программного обеспечения, особенно с использованием скриптов Python, могут стать эффективными мерами превентивной защиты.
Индикаторы компрометации
IPv4
- 45.58.143.254
IPv4 Port Combinations
- 213.227.152.82:2125
- 45.58.143.254:7575
Domains
- vigroup2125.duckdns.org
- vijdklet.duckdns.org
- ydspwie.duckdns.org
Domain Port Combinations
- vijdklet.duckdns.org:7575
URLs
- https://tria.ge/260225-st7zrsbz6d
- https://tria.ge/260225-st8ajabz6e
- https://tria.ge/260225-st8w3abz6f
- https://tria.ge/260225-syq7tab15f
- https://tria.ge/260225-syqahsb15d
- https://tria.ge/260225-syrtcab15g
SHA256
- cbd4cd4c42b3ee0bfb99a254a97ff2c2aacc47d83e08601ae8cdf3b333f07806
- d656bcfefa98007fcb3e2be4430a9b24d258c046b0c768ac43699436aceb98e6
- e2c5921e5c354000c38653d05ac3255865d20bc986da34e68246da6f72ec1fed
