Атака через доверенные .NET-приложения: новая многоступенчатая платформа нацелилась на Ближний Восток и финансовый сектор

Атака начинается с целевой фишинговой рассылки, где жертве предлагается скачать ZIP-архив. Внутри архива находится тщательно продуманный набор файлов, включая легитимную, подписанную Intel утилиту "IAStorHelp.exe". Ключевым элементом является ярлык (LNK-файл), замаскированный под документ PDF с помощью двойного расширения (".pdf.lnk") и иконки из браузера Microsoft Edge. При запуске этот ярлык одновременно открывает поддельный, но профессионально изготовленный документ на арабском языке, имитирующий официальное обращение министерства Саудовской Аравии, и запускает доверенный бинарный файл Intel. Именно на этом этапе и происходит магия атаки. Рядом с исполняемым файлом злоумышленники заранее размещают специальный конфигурационный файл ".config", который использует стандартный механизм .NET Common Language Runtime (CLR) - среды исполнения управляемого кода.

Этот файл содержит директиву, принудительно загружающую вредоносную библиотеку "IAStorHelpMosquitoproof.dll" через механизм "AppDomainManager". По сути, это легальная функция .NET, предназначенная для управления доменами приложений, которую атакующие перехватывают для выполнения своего кода ещё до запуска основной логики легитимной программы. Поскольку CLR автоматически ищет и загружает конфигурационный файл рядом с исполняемым модулем, для срабатывания атаки не требуются никакие изменения в реестре или переменных окружения. Таким образом, цифровая подпись исходной утилиты Intel служит идеальным прикрытием, наследуя доверие операционной системы и средств безопасности для всего последующего вредоносного кода. Исследователи CYFIRMA в своём отчёте подробно описали, как этот метод создаёт серьёзную брешь в защите, позволяя обходить контроль целостности кода.

После успешного внедрения в процесс фреймворк активирует многослойные механизмы уклонения от анализа. Первая фаза представляет собой 60-секундную задержку, реализованную не через стандартные вызовы типа "Sleep", а через интенсивные вычисления простых чисел, что выглядит как легитимная нагрузка на процессор и сбивает с толку автоматизированные песочницы. Вторая фаза включает цикл из 892 007 итераций для подбора ключа шифрования методом перебора по ограниченному пространству, что дополнительно расходует бюджет времени анализа. Только преодолев эти барьеры, вредоносная программа приступает к расшифровке основного payload - полезной нагрузки, зашифрованной с помощью AES-128-CBC и хранящейся в файле "setting.yml".

Одной из самых изощрённых техник является выполнение shellcode - низкоуровневого исполняемого кода. Вместо стандартных и легко отслеживаемых вызовов API Windows для выделения памяти (например, "VirtualAlloc") фреймворк использует JIT-трамплин. Он динамически создаёт сборку .NET, заставляя компилятор Just-In-Time сгенерировать область исполняемой памяти как часть нормальной работы среды выполнения. Затем этот легитимный регион памяти перезаписывается shellcode и выполняется через указатель на функцию. Этот подход создаёт слепую зону для большинства EDR-систем, которые мониторят именно стандартные API, а не внутренние механизмы JIT. Дальнейшая работа строится на рефлексивной загрузке DLL непосредственно в память, с точным копированием поведения штатного загрузчика Windows, включая установку прав доступа для каждой секции модуля.

Для связи с командным сервером злоумышленники используют технику доменного фронтинга через инфраструктуру Amazon CloudFront. Трафик маскируется под легитимные запросы к популярному CDN, что делает практически бесполезной простую блокировку на уровне IP-адресов или доменных имён и требует глубокого анализа пакетов. После выполнения своей миссии фреймворк активирует анти-форензикные механизмы, в два этапа полностью очищая память от следов: сначала блокируя доступ к регионам памяти, а затем освобождая их. Модульная архитектура на основе плагинов указывает на то, что это не разовый инструмент, а масштабируемая платформа для долгосрочных операций, способная динамически загружать дополнительные функции, такие кейлоггинг или эксфильтрацию данных.

Обнаруженный фреймворк демонстрирует конвергенцию техник, характерных для продвинутых устойчивых угроз (APT), и возможностей современных коммерческих инструментов для red team, таких как Cobalt Strike или Brute Ratel C4. Его появление сигнализирует о критическом сдвиге в тактике злоумышленников в сторону максимальной скрытности через злоупотребление доверенными путями исполнения. Для защиты от подобных атак организациям необходимо пересмотреть стратегию безопасности, сместив фокус с сигнатурного анализа на мониторинг аномального поведения процессов, особенно в среде .NET, внедрять инспекцию зашифрованного трафика и уделять повышенное внимание memory-форензике для обнаружения следов активности в оперативной памяти.

Domains

• dp8519iqiftub.cloudfront.net
• dunamis-ethos508-prod-va6-856defacfb833db1.elb.us-east-1.amazonaws.com

SHA256

• 4f353b9634509a5e1456e54ccb4ce64c1e6d95094df96048ef79b30cc2fda6cb
• 5d784d3ca02ab0015b028f34aa54bc8c50db39f9671dc787bc2a84f0987043b2
• 8ba1b0392a8fbfb455c43c4e1408352d0e5fc281148810143a5b64938fb0982f
• f2266b45d60f5443c5c9304b5f0246348ad82ca4f63c7554c46642311e3f8b83