AsyncRAT атакует через файловые техники, уклоняясь от систем защиты

Эксперты LevelBlue раскрыли детали сложной кибератаки с использованием удаленного трояна AsyncRAT, которая демонстрирует растущую угрозу со стороны вредоносного программного обеспечения, работающего без записи на диск. Атака началась с компрометации легитимного инструмента удаленного доступа ScreenConnect и завершилась кражей конфиденциальных данных с использованием продвинутых методов маскировки.

Описание

Специалисты Центра операций безопасности (SOC) LevelBlue и аналитики группы разведки угроз LevelBlue Labs детально изучили этот инцидент, который подчеркивает серьезные проблемы, связанные с файловыми атаками. В отличие от традиционных угроз, такие атаки выполняются непосредственно в оперативной памяти, что значительно затрудняет их обнаружение и анализ, поскольку они не оставляют следов на диске и активно используют доверенные системные утилиты.

Инцидент начался, когда злоумышленник получил первоначальный доступ к системе через скомпрометированный установщик ScreenConnect. Этот доступ был использован для интерактивного выполнения вредоносного сценария VBScript под названием «Update.vbs» из папки временных файлов пользователя. Процесс был запущен вручную непосредственно через активную удаленную сессию, что указывает на целенаправленные действия атакующего, а не на фоновую автоматическую активность.

Сценарий «Update.vbs» выступал в роли загрузчика, который инициировал выполнение скрытого кода на PowerShell. Этот код, в свою очередь, загружал с внешних URL-адресов дополнительные obfuscated-компоненты, включая закодированные сборки .NET. Финальным этапом цепочки стала распаковка и запуск AsyncRAT - мощного трояна удаленного доступа (Remote Access Trojan, RAT), который маскировался под легитимный процесс «Skype Updater».

Для обеспечения устойчивости в системе злоумышленник создал задание в Планировщике задач Windows с названием «Skype Updater», которое регулярно запускало вредоносный код. Это позволяло трояну оставаться активным даже после перезагрузки устройства. AsyncRAT затем устанавливал связь с командным сервером (C2), используя домен 30sch20[.]duckdns[.]org, и начинал сбор конфиденциальной информации: данные для входа, ключи криптокошельков и нажатия клавиш с помощью кейлоггера.

Аналитики LevelBlue обнаружили аномальную активность благодаря платформе SentinelOne Deep Visibility, которая зафиксировала нестандартные параметры запуска процесса ScreenConnect.ClientService.exe, включавшие подключение к известному вредоносному домену relay[.]shipperzone[.]online. Дополнительная проверка через VirusTotal и открытые источники (OSINT) подтвердила, что этот домен ранее ассоциировался с несанкционированными операциями на базе ScreenConnect.

Этот случай наглядно иллюстрирует, насколько изощренными становятся современные киберугрозы. Атакующие все чаще комбинируют легитимное программное обеспечение, скриптовые языки и методы obfuscation, чтобы обойти традиционные средства защиты, такие как антивирусы и системы обнаружения вторжений (IDS). Файловые техники особенно опасны, поскольку они минимизируют взаимодействие с файловой системой и используют разрешенные административные инструменты.

Чтобы противостоять таким угрозам, специалисты LevelBlue рекомендуют организациям внедрять многоуровневую стратегию безопасности. Ключевыми элементами являются постоянный мониторинг поведения процессов, анализ сетевой активности на предмет аномальных соединений, строгое управление правами доступа и регулярное обучение сотрудников. Особое внимание следует уделять контролю за использованием средств удаленного доступа и подозрительными заданиями в планировщике задач.