Киберпреступники активно используют PowerShell для скрытных атак, обходящих традиционные антивирусные защиты. Запуская код напрямую в памяти, такие угрозы почти не оставляют следов на диске, что затрудняет их обнаружение.
Описание
Один из последних примеров - Remcos RAT, троян для удаленного доступа, известный своей живучестью и скрытностью. Он предоставляет злоумышленникам полный контроль над системой, что делает его популярным инструментом для кибершпионажа и кражи данных. В новой кампании вредоносные LNK-файлы распространялись внутри ZIP-архивов, маскирующихся под документы Office. На начальном этапе атака использовала mshta.exe для обхода защиты.
Как работает атака?
Исследователи Qualys Threat Research Unit (TRU) обнаружили новый PowerShell-лоадер, загружающий модифицированную версию Remcos RAT.
1. Начальная стадия через MSHTA
- MSHTA.exe выполняет обфусцированный HTA-файл, содержащий VBScript-код.
- Скрипт отключает защиту Windows Defender, добавляя папку C:/Users/Public/ в исключения через Add-MpPreference -ExclusionPath.
- Устанавливает политику выполнения PowerShell в обход ограничений (Bypass), скрывает окно и создает запись в реестре для автозапуска.
- Загружает три файла:
- pp1.pdf (файл-приманка),
- 311.hta (аналог xlab22.hta),
- 24.ps1 (вредоносный PowerShell-скрипт).
2. Анализ PowerShell-скрипта
Скрипт 24.ps1 сильно обфусцирован и содержит два блока данных в base64. После декодирования он использует Win32 API (VirtualAlloc, Marshal.Copy, CallWindowProcW) для выполнения кода в памяти.
3. Загрузка Remcos RAT
- Первый блок (104 КБ) — это shellcode-лоадер, который динамически разрешает API через PEB (Process Environment Block), минуя статический импорт.
- Второй блок (484 КБ) — 32-битный Remcos RAT, скомпилированный в Visual Studio C++ 8.
Особенности Remcos RAT
- Скрытность: работает в памяти, внедряется в svchost.exe через Process Hollowing.
- Функционал:
- крадет данные браузеров (Chrome, Firefox),
- записывает нажатия клавиш,
- делает скриншоты,
- включает веб-камеру и микрофон,
- обходит UAC через ICMLuaUtil.
- C2-сервер: соединяется с readysteaurants[.]com через TLS (порт 2025).
Атаки через PowerShell и Remcos RAT остаются серьезной угрозой. Злоумышленники постоянно совершенствуют методы обхода защиты, что требует повышенной бдительности и многоуровневой безопасности.
Индикаторы компрометации
IPv4
- 162.254.39.129
- 193.142.146.101
Domains
- readysteaurants.com
Domain Port Combinations
- readysteaurants.com:2025
URLs
- https://mytaxclientcopy.com/xlab22.hta
MD5
- 1b26f7e369e39312e4fcbc993d483b17
- b63178f562b948b850f4676d4b8db1c0
- bf32ff64ac0cfee67f4b2df27733576a
- dd7f049a4b573cc48e0412902a2c14b5
