В мире вредоносного программного обеспечения появилась новая серьёзная угроза, ориентированная на максимальную живучесть и скрытность. CrySome RAT (Remote Access Trojan, троян удалённого доступа) представляет собой комплексный инструмент для пост-эксплуатации, разработанный на C# для экосистемы .NET. Его ключевая особенность, отличающая от множества других угроз, - способность сохраняться в системе даже после её полного сброса к заводским настройкам. Эта продвинутая техника, наряду с многослойными механизмами закрепления и агрессивными модулями уклонения от защитных решений, делает CrySome RAT исключительно опасным инструментом для целевых атак и долгосрочного шпионажа.
Описание
Анализ исследователей, основанный на статическом и динамическом изучении кода, показывает, что CrySome следует модульной архитектуре. После начальной фазы загрузки, которая устанавливает выполнение и загружает конфигурацию, вредоносная программа переходит в непрерывный сетевой цикл, обрабатывая входящие команды через структурированный пакетный протокол. Каждый пакет соответствует определённой возможности, эффективно предоставляя оператору удалённый API для полного контроля над системой. Набор функций является исчерпывающим: от стандартного выполнения команд и управления файлами до захвата аудио и видео с веб-камеры, кейлоггинга (перехвата нажатий клавиш) и извлечения учётных данных из браузеров на базе Chromium.
Однако истинную мощь CrySome демонстрирует его модуль расширенного закрепления, получивший название Survival. Помимо стандартных техник, таких как создание запланированных задач, служб Windows с политиками восстановления и триггеров автозапуска в реестре, он использует две особо изощрённые методики. Во-первых, вредоносная программа копирует себя в раздел восстановления Windows ("C:\Recovery\OEM\"), область, которая часто сохраняется даже при сбросе системы. Во-вторых, и это наиболее критично, она модифицирует оффлайн-реестр, загружая файлы реестра вне работающей операционной системы и внося изменения в ключ RunOnce. Это гарантирует, что после сброса или восстановления системы выполнение вредоносного кода будет автоматически возобновлено. Подобный подход к персистентности (закреплению) выходит за рамки обычных методов очистки и требует от специалистов по безопасности проведения глубокого криминалистического анализа, включая проверку разделов восстановления.
Не менее опасен и модуль AVKiller, предназначенный для системного отключения средств защиты. Он содержит жёстко заданные списки процессов, служб, установщиков и доменов для обновления, охватывающие продукты основных вендоров, включая Microsoft Defender, Kaspersky, ESET и CrowdStrike. Модуль выполняет непрерывное сканирование и завершение процессов антивирусов, блокирует попытки их переустановки, отключает соответствующие службы, перенаправляет запросы на серверы обновлений в никуда через модификацию файла "hosts", а также использует механизм Image File Execution Options (IFEO) в Windows для подмены отладчика и блокировки запуска защитных инструментов. Для Microsoft Defender применяется многоуровневое отключение через PowerShell и реестр, которое деактивирует мониторинг в реальном времени, защиту от несанкционированного вмешательства и облачную защиту.
С точки зрения скрытности CrySome предлагает функцию HVNC (Hidden Virtual Network Computing), которая позволяет злоумышленнику взаимодействовать с системой в невидимой для пользователя сессии, значительно снижая риск обнаружения во время интерактивных операций. Кроме того, программа собирает контекст о действиях пользователя, передавая оператору заголовок активного окна, что даёт понимание, с каким приложением работает жертва в данный момент.
Угроза активно развивается и коммерциализируется. Оператор поддерживает публичный сайт "crysome[.]net", где предлагает инструмент по подписке, а взломанные версии распространяются на тематических форумах и в Telegram-каналах, увеличивая риск его бесконтрольного использования. Последнее обновление, датированное мартом 2026 года, подтверждает, что проект находится в активной разработке. Для специалистов по информационной безопасности появление CrySome RAT служит тревожным напоминанием о необходимости выходить за рамки стандартных процедур реагирования. Борьба с такими сложными угрозами требует непрерывного мониторинга аномальной активности, аудита механизмов автозапуска на глубоком уровне и готовности к полному криминалистическому анализу систем, включая проверку скрытых областей хранения, для гарантированного устранения подобных устойчивых угроз.
Индикаторы компрометации
SHA256
- f30f32937999abe4fa6e90234773e0528a4b2bd1d6de5323d59ac96cdb58f25d
- fa896cc8ce13c69f6306eff2a8698998b48b422784053df6bb078c17fe3f04c3
YARA
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 | import "hash" rule CrySome_RAT { meta: description = "Detection of CrySome RAT using SHA256 hashes and C2 domain" author = "Cyfirma Research" date = "2026-03-25" strings: $url = "crysome.net" condition: hash.sha256(0, filesize) == "f30f32937999abe4fa6e90234773e0528a4b2bd1d6de5323d59ac96cdb58f25d" or hash.sha256(0, filesize) == "fa896cc8ce13c69f6306eff2a8698998b48b422784053df6bb078c17fe3f04c3" or $url } |
