В мире вредоносного программного обеспечения происходит тихая, но фундаментальная революция. Классические атаки, оставляющие исполняемые файлы на диске, которые могут быть обнаружены традиционными сигнатурными антивирусами, уступают место более изощрённым методикам. Современные злоумышленники всё чаще применяют так называемые бесфайловые техники, которые позволяют выполнять вредоносный код исключительно в оперативной памяти, не оставляя следов на жёстком диске. Ярким примером этой эволюции стала новая кампания с использованием трояна удалённого доступа Remcos RAT, демонстрирующая полный переход от традиционной доставки к сложной многоступенчатой цепочке, скрытой от обычных средств защиты.
Описание
Ранние версии Remcos RAT были известны относительно простыми механизмами доставки, оставляющими исполняемые файлы на диске. Однако, как показывает свежий анализ специалистов по информационной безопасности, операторы этой вредоносной программы кардинально изменили подход. Теперь они используют многоэтапные цепочки заражения, резидентные в памяти, где статические полезные нагрузки заменены слоистыми скриптами, дешифровкой в памяти и внедрением в процессы. Этот сдвиг не только усложняет обнаружение, но и сокращает время развёртывания атаки в крупных масштабах, что представляет серьёзную угрозу для организаций любого уровня.
Анализ последней кампании начинается с фишингового письма, которое служит точкой первоначального доступа. Злоумышленники используют тему, связанную с закупками, имитируя деловую переписку с запросом коммерческого предложения. Отправитель подделан под название компании, работающей в морской и промышленной сфере, что повышает доверие потенциальной жертвы. В письме содержится архивный вложенный файл, замаскированный под коммерческий документ. Внутри архива находится файл JavaScript с обманчивым именем, который при запуске действует как загрузчик. Его единственная задача - выполнить HTTP-запрос к контролируемой злоумышленниками инфраструктуре и получить следующий этап вредоносной цепочки. Этот дизайн отражает общий модульный подход, где скрипты начального доступа минимизируют свою активность, делегируя основную логику следующим этапам.
Полученный файл представляет собой PowerShell-скрипт, зашифрованный с помощью алгоритма AES. Важно отметить, что он не записывается на диск, а обрабатывается непосредственно в памяти. После загрузки JavaScript-загрузчик выполняет его дешифровку, используя встроенные значения ключа и вектора инициализации. Этот полностью бесфайловый загрузчик реконструирует полезную нагрузку из нескольких закодированных фрагментов. После дешифровки в память загружаются два исполняемых объекта: сборка .NET-инжектора, закодированная в Base64, и финальная полезная нагрузка Remcos RAT в виде сырых десятичных данных. Специалисты Trellix сообщили в своём разборе, что именно на этом этапе происходит рефлексивная загрузка управляемого инжектора, который затем выполняет ключевую операцию - так называемое «опустошение процесса» (process hollowing).
Техника опустошения процесса направлена против легитимного файла Windows - "aspnet_compiler.exe". Инжектор создаёт новый экземпляр этого доверенного, подписанного системного процесса, а затем заменяет его код в памяти на вредоносную полезную нагрузку Remcos RAT. В результате троян начинает выполняться исключительно в оперативной памяти под прикрытием законного компонента .NET. Это позволяет зловреду наследовать доверенный контекст процесса, что значительно снижает вероятность обнаружения как сигнатурными системами, так и поведенческими анализаторами, ищущими аномалии в работе нетипичных процессов.
Финальный этап - это полноценная работа Remcos RAT как резидентного в памяти бесфайлового модуля внутри «опустошённого» процесса "aspnet_compiler.exe". Троян инициализирует своё окружение выполнения, динамически разрешает необходимые API Windows, что обеспечивает кросс-версионную совместимость, и дешифрует конфигурационный файл из встроенных ресурсов. Конфигурация содержит домены сервера управления (Command & Control), порт для связи, имя хоста, мьютекс для предотвращения множественных запусков, а также параметры для сбора данных. После подготовки троян создаёт локальный лог-файл, например, по пути "C:\ProgramData\rema\logs.dat", для буферизации данных кейлоггера и информации из буфера обмена на случай отсутствия связи с C2. Затем устанавливается соединение с сервером управления, куда передаётся детальный профиль системы - имя хоста, идентификатор кампании, данные об операционной системе и правах доступа, что знаменует завершение заражения и переход в фазу активного удалённого управления.
Данная кампания наглядно демонстрирует, что методы работы с широко распространёнными готовыми вредоносными программами стали стандартизированными и высокотехнологичными. Бесфайловое выполнение и злоупотребление легитимными инструментами системы (Living off the Land) теперь являются нормой, а не исключением. Это подчёркивает острую необходимость для защитников смещать фокус с традиционных сигнатурных методов на стратегии, ориентированные на анализ поведения и памяти. Организациям для противодействия подобным угрозам рекомендуется ограничивать возможность злоупотребления встроенными системными утилитами, внедрять политику минимальных привилегий, а также развёртывать системы обнаружения, способные анализировать аномальную активность в памяти и выполнение скриптов. Повышение видимости за счёт централизованного сбора логов, мониторинга командной строки и проактивной охоты на угрозы помогает выявлять скрытую активность, в то время как сегментация сети и регулярное обучение сотрудников основам кибергигиены снижают риски латерального перемещения и успеха социальной инженерии.
Индикаторы компрометации
IPv4
- 91.92.243.550
Domains
- eaidali.ddns.net
- www.lmfire.net
URLs
- http://eaidali.ddns.net:2404/
- http://www.lmfire.net:2404/
MD5
- 47b1603f62306dfa34bd7d52b7159c7f
- 6f61c2917c7dac70b4703700b3aafb33
- c2b601dc165fa0b4837019f1152d005a
- de59f9c1b237af2b27df59a6cec82fd2
- df8a0d943f6df9394f0116521536a938
- e7983c9dc42001baeafedebdaba8b310
- ffe4dc0ebc7b0b76d95dad2f383f6034
