AsyncRAT: Как киберпреступники обходят защиту и крадут данные

Группа киберпреступников, стоящая за этой кампанией, активно использует легальные сервисы, такие как TryCloudflare, для размещения и распространения вредоносного ПО. AsyncRAT и аналогичные трояны обладают широким функционалом, позволяя злоумышленникам полностью контролировать зараженную сеть - от первоначального проникновения до финальной стадии эксфильтрации данных. Важно отметить, что большинство традиционных систем защиты, включая EPP (Endpoint Protection Platform) и EDR (Endpoint Detection and Response), оказались неспособны обнаружить эту угрозу на ранних этапах.

Как уже сообщалось в материале о Serrentine Cloud, эта угроза использует легитимные сервисы для маскировки.

С начала 2024 года атаки затронули тысячи организаций в различных отраслях, что указывает на отсутствие избирательности у злоумышленников. Они используют доступные в даркнете RAT-программы, такие как AsyncRAT, XWorm, VenomRAT и Remcos, которые часто применяются в финансово мотивированных киберпреступлениях. Опасность заключается в том, что злоумышленники применяют сложные методы обхода защиты, включая Python-скрипты, зашифрованные batch-файлы и динамическую инфраструктуру, что делает их атаки трудно обнаруживаемыми. Организации, полагающиеся исключительно на сигнатурные методы защиты, остаются особенно уязвимыми.

Атака начинается с фишингового письма, содержащего ссылку на ZIP-архив, размещенный на Dropbox. Внутри архива находится файл .URL, который перенаправляет жертву на загрузку вредоносного .LNK-файла через TryCloudflare. Далее запускается сложный цепочный сценарий, включающий выполнение зашифрованного batch-скрипта и загрузку Python-скриптов, которые в конечном итоге внедряют AsyncRAT или другой RAT-троян.

Использование TryCloudflare позволяет злоумышленникам создавать временные, неотслеживаемые поддомены, которые выглядят легитимными для систем защиты. Это значительно усложняет задачу по блокировке вредоносных подключений на уровне периметра. Более того, динамическая инфраструктура, развернутая через легальные сервисы, делает атаку масштабируемой и скрытой, так как защитникам сложно отличить вредоносные подключения от обычных рабочих процессов.

На данный момент точная атрибуция отсутствует, но аналитики предполагают, что кампания ведется киберпреступной группой, специализирующейся на продаже первоначального доступа к корпоративным сетям. Широкий и нецелевой характер атак, а также использование доступных RAT-инструментов указывают на финансовую мотивацию.

Хотя некоторые тактики совпадают с методами других известных групп, таких как TA2541, эксперты считают, что это новая или переименованная группировка. Отсутствие уникальных идентификаторов, таких как повторное использование кода или специфические шаблоны C2-серверов, не позволяет точно установить связь с другими активными угрозами. Однако важно понимать, что даже если атака кажется простой, она может стать предвестником более серьезных инцидентов, включая ransomware-атаки.

В условиях растущей сложности кибератак только комплексный подход к защите может минимизировать риски. Организации должны сочетать технические меры с постоянным обучением сотрудников и активным мониторингом угроз. Только так можно противостоять таким изощренным кампаниям, как AsyncRAT.

Domains

• lender-router-exclusively-fractio.trycloudflare.com
• now-refer-several-tariff.trycloudflare.com
• wizard-individual-intervals-franklin.trycloudflare.com

SHA256

• 4d2fccad69bb02305948814f1aa6ef76c85423eb780ec5f3751b7ffbf8b74ca3
• 4ed08dcad1cf63f4ab46176f60ed17f326046a02dcb72448c3134b25191e8cd0
• 54fa1e565ce615f5a39b9ee502bd8b23f90e6d803e3da108ff150d8434ec5cd9
• 66938c34825d1e32d5f3daf8911311f05dd9bad07278268ae6b783dcdc8130a9
• 7e4f335241d4ded5ea19bf5c92f8e70ea76de7167cd3691752b9386ff094848f
• 821f0956d3f52819c90035041c0f4c0ec644924af46222c5913e05de1c385b04
• a836a92e0618a2d2654a98551db3908f4a4531c7c6ef8f4bd41badcfa9e05096
• b16d2800811e7a72c90bea50640330966cdb931a03f76338478da682ea6fded7