Атака на цепочку поставок: установщик ИИ-помощника от ZhiPu AI подменили трояном XWorm

Анализ подменённого установщика, проведённый экспертами, выявил сложную архитектуру атаки. Файл с именем AutoGLM_win32_x64_1.10.0_260430_1458.exe размером около 103 мегабайт не содержал действующей цифровой подписи. При запуске он выполнял последовательность действий, направленных на скрытое внедрение вредоносного кода. Программа создавала в каталоге "%LOCALAPPDATA%" папку с именем SougouIME и записывала в неё три файла: легитимный компонент программы ввода от компании Sogou (SougouImeBroker.exe) и два вредоносных динамически подключаемых модуля - version.dll и rpc.dll. Затем в папку "%LOCALAPPDATA%" помещался сам установщик оригинальной программы ввода Гиппу AI (GLMUpdater.exe). После этого запускался легитимный компонент Sogou, что приводило к автоматической загрузке вредоносного модуля version.dll из той же директории - классический приём, известный как side-loading DLL (боковая загрузка библиотеки). Чтобы не вызывать подозрений, одновременно стартовал и настоящий установщик программы ввода, маскируя вредоносную активность.

Первый вредоносный модуль version.dll, размером около 2,7 мегабайта, был упакован защитным средством Themida - это серьёзно усложняет обратную разработку кода. Сама библиотека реализует механизм закрепления в системе (persistence) и запускает встроенный шеллкод первого уровня. Как показано в отчёте, при загрузке модуль выполняет целый ряд проверок: ищет отладчики, проверяет признаки виртуальной среды, а затем начинает многоступенчатый процесс раскрытия полезной нагрузки. Если система не является окружением для анализа, version.dll запускает процесс rundll32.exe, передавая ему в качестве параметра собственную же библиотеку и вызывая экспортируемую функцию DllRegisterServer. Этот дополнительный процесс служит контейнером для выполнения вредоносного кода.

Внутри DllRegisterServer реализована защита от динамического анализа: код дважды вызывает функцию получения времени системы и проверяет разницу между вызовами - если она превышает 156 миллисекунд (что типично для работы отладчика или эмулятора), выполнение прерывается. При успешной проверке выделяется большой блок памяти (около 200 мегабайт), куда копируется зашифрованный шеллкод, который затем расшифровывается с помощью пошаговой операции XOR. Расшифрованный код первого уровня загружает необходимые функции из системных библиотек, включая ole32.dll, oleaut32.dll, wininet.dll, mscoree.dll и shell32.dll, а затем внедряет в память первую вложенную исполняемую программу (PE-файл).

Механизм закрепления реализован в потоке Malware_Thread2, который запускается одновременно с выполнением основного кода. Интересная деталь: злоумышленники предусмотрели поведение в зависимости от наличия в системе процесса китайского антивируса 360 (файл ZhuDongFangYu.exe). Если защитное средство обнаружено, вредоносный код не пытается создавать записи автозагрузки традиционным способом, а обращается к альтернативному механизму - библиотеке rpc.dll, также записанной в папку SougouIME. Если же антивирус отсутствует, version.dll создаёт запись в разделе реестра "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" и дополнительно устанавливает задачу в планировщике Windows (Task Scheduler) с помощью команды schtasks. При этом учитываются права текущего пользователя: если процесс работает с повышенными привилегиями, задача создаётся с флагом "RL HIGHEST", что обеспечивает выполнение с максимальными правами. Задача настроена на повторение каждые пять минут, что гарантирует постоянное присутствие вредоносного кода в системе.

Второй модуль rpc.dll включается в работу только при наличии антивируса 360. Его задача - создать скрытую задачу планировщика через RPC-интерфейс (удалённый вызов процедур), используя UUID "86D35949-83C9-4044-B424-DB363231FD0C" и именованный канал "\pipe\atsvc". При этом формируется XML-файл с описанием задачи, который маскируется под обновление офисного пакета WPS (аналог Microsoft Office). Задача регистрируется под именем "\Microsoft\Windows\UpdateTask" и настроена на выполнение с интервалом в десять минут, используя низкие привилегии, что позволяет обходить проверки безопасности.

После установки закрепления выполнение переходит к финальной стадии. Внутри первой вложенной программы находится ещё один зашифрованный блок, содержащий исполняемый код на платформе .NET - на этом этапе раскрывается сам бэкдор, известный под именем XWorm. Этот удалённый троян обладает широким набором возможностей. В первую очередь он собирает детальную информацию о системе: HWID, имя компьютера и пользователя, версию ОС, данные об установленных антивирусах, сведения о процессоре, видеокарте и объёме памяти. Для идентификации машины применяется вычисление MD5 на основе серийного номера диска, MAC-адреса сетевой карты, числа процессоров, имени пользователя и размера системного раздела. Публичный IP-адрес запрашивается через сервисы checkip.amazonaws.com и api.ipify.org.

Троян реализует полноценный кейлоггер (клавиатурный шпион). Для этого он устанавливает глобальный низкоуровневый перехватчик клавиш WH_KEYBOARD_LL, отслеживает активные окна с помощью GetForegroundWindow и способен корректно обрабатывать раскладки клавиатуры благодаря вызовам GetKeyboardLayout и ToUnicodeEx. Кроме того, XWorm содержит модули для кражи криптовалютных кошельков - в конфигурации предусмотрены поля для подстановки адресов кошельков Bitcoin, Ethereum и TRON (Tron), хотя в данном образце эта функция ещё не активирована. Встроенный список команд C2 (сервера управления) впечатляет разнообразием: от простого перезапуска и удаления до выполнения произвольного кода в памяти (FM), скачивания и запуска файлов (LN), изменения системного файла hosts, управления плагинами, захвата изображений с веб-камеры и даже принудительного завершения работы системы.

Связь с сервером управления шифруется с использованием AES, причём ключ для расшифровки вычисляется из строки Mutex "R1sWgPmV7TMSfb2B". Адрес C2 - "microsoft.timefixinstaller.online", порт 8002. Данные разделяются символом обратного слеша. Групповая принадлежность заражённых машин обозначена как "GM". Для противодействия обнаружению троян применяет комплекс мер: он модифицирует функции AMSI (интерфейс для проверки скриптов PowerShell) и ETW (трассировка событий Windows), заменяя первые байты этих API на инструкции возврата, что фактически отключает встроенные механизмы защиты. Дополнительно в коде заложены десятки проверок на наличие отладчиков, виртуальных машин (VMware, VirtualBox) и инструментов мониторинга (Process Monitor, File Monitor, Regmon). Список обнаруживаемых драйверов и окон включает десятки наименований, включая модули песочниц SbieDll.dll и cmdvrt32.dll.

Сама по себе атака демонстрирует рост профессионализма злоумышленников, нацеленных на пользователей популярных продуктов с искусственным интеллектом. Использование легитимного компонента для боковой загрузки, многослойное шифрование, обход антивирусного ПО и применение сложной логики закрепления - всё это указывает на то, что целью было длительное скрытое присутствие в заражённых системах. Для пользователей, успевших скачать установщик в тот период, рекомендуется немедленно проверить наличие папки SougouIME в каталоге "%LOCALAPPDATA%" и провести полное сканирование системы современным антивирусным решением с обновлёнными базами. Сам факт того, что инцидент был оперативно купирован самим разработчиком, не отменяет серьёзности угрозы: любой официальный сайт, предлагающий загрузку исполняемых файлов, теоретически может стать мишенью для подобной атаки. Бдительность при проверке цифровых подписей и хеш-сумм - единственная надёжная защита на этапе установки.

Domains

• microsoft.timefixinstaller.online

MD5

• 0b7b91448f7d5884804b210d9ebf7dfd
• 987e51176788c759eb930ade655cfb07
• ca2ffd37721ec535a048e4aa5faa289d
• e0145c0c1439528c3012be7d0f63409d