В современном ландшафте киберугроз злоумышленники стремятся максимизировать выгоду от каждой успешной компрометации системы. Вместо точечных атак всё чаще наблюдается тенденция к использованию комплексных вредоносных пакетов, сочетающих в себе инструменты для разных целей. Эксперты Splunk Threat Research Team (STRT) обнаружили активную кампанию, в рамках которой один загрузчик распространяет сразу две разнородные угрозы: троян удалённого доступа (RAT) Gh0st и навязчивое рекламное ПО CloverPlus. Такая связка позволяет атакующим убить двух зайцев: обеспечить себе долгосрочный скрытый доступ к системе и одновременно получать немедленную прибыль от рекламных кликов.
Описание
Gh0st RAT - это классический инструмент, известный специалистам по безопасности много лет. Его живучесть в арсенале злоумышленников объясняется эффективностью и широким функционалом для полного контроля над системой жертвы. В свою очередь, CloverPlus относится к категории нежелательного ПО, которое навязывает пользователю рекламу, изменяет настройки браузера и перенаправляет трафик. Само по себе такое ПО редко представляет критическую опасность для данных, однако оно служит отличным источником быстрого и практически пассивного дохода для преступных групп. Совместное использование этих угроз сигнализирует о рационализации киберпреступного бизнеса, где одна инфраструктура используется для достижения как стратегических, так и тактических целей.
Анализ загрузчика показал, что он использует методы обфускации для сокрытия двух зашифрованных полезных нагрузок в своей секции ресурсов. Первой извлекается и запускается рекламный модуль. Затем загрузчик проверяет, находится ли файл процесса в папке %temp%, и если нет, создаёт там свою копию. После этого происходит расшифровка второй полезной нагрузки - библиотеки DLL, содержащей клиентский модуль Gh0st RAT. Расшифрованный файл сохраняется в случайно сгенерированной папке в корне диска C: и выполняется с помощью стандартного системного процесса rundll32.exe. Этот метод позволяет вредоносной программе маскироваться под легитимную активность.
Исследовательская группа Splunk детально изучила поведение Gh0st RAT, сопоставив его с тактиками и техниками, описанными в матрице MITRE ATT&CK - общепринятом каталоге методов кибератак. Анализ выявил широкий спектр вредоносных действий, направленных на закрепление в системе, сбор информации и уклонение от обнаружения. В частности, троян манипулирует токенами процессов для получения привилегий SeDebugPrivilege, что позволяет ему читать память других приложений и извлекать конфиденциальные данные. Он также проводит разведку системы, идентифицируя пользователя и обнаруживая процессы, связанные с сетевыми портами.
Одной из ключевых техник уклонения является принудительное завершение процесса, обрабатывающего DNS-трафик на порту 53, с последующим удалением его файла. Это позволяет трояну перехватывать и подменять DNS-запросы. Для проверки среды выполнения вредоносное ПО опрашивает реестр на наличие ключей, связанных с инструментами VMware, чтобы определить, не запущено ли оно внутри виртуальной машины, что часто является признаком анализа. В случае обнаружения виртуального окружения Gh0st RAT активирует механизм "резолвера мёртвых точек" (dead drop resolver), получая адрес реального командного сервера (C2) из содержимого, скрытого на легитимном, но скомпрометированном веб-сайте.
Для задержки выполнения основных вредоносных действий троян использует технику "ping sleep", запуская команду ping с параметром задержки. Это позволяет обмануть примитивные системы мониторинга и песочницы. Кроме того, Gh0st RAT активно вмешивается в работу сети: он может блокировать доступ к доменам, связанным с антивирусным ПО, путём модификации файла hosts и генерации поддельных DNS-ответов. После внесения изменений троян очищает DNS-кэш системы, чтобы подмена вступила в силу немедленно.
Сбор системной информации включает в себя получение MAC-адреса сетевого адаптера и серийного номера жисского диска, что создаёт уникальный идентификатор для каждой заражённой машины. Для обеспечения устойчивости троян прописывает себя в автозагрузку через ключи реестра Windows, создаёт службу и даже использует сервис удалённого доступа (RemoteAccess) для загрузки своей вредоносной DLL с правами SYSTEM. Финальным штрихом является функция кейлоггера, которая активируется при запуске клиента удалённого рабочего стола mstsc.exe, позволяя перехватывать учётные данные во время RDP-сессий.
Для противодействия этой гибридной угрозе специалисты Splunk предлагают использовать возможности платформы для поиска аномалий. В новом отчёте исследователи приводят примеры корреляционных правил, которые могут помочь в обнаружении подобной активности. Например, мониторинг запуска rundll32.exe с нестандартными расширениями файлов или из подозрительных временных каталогов, выявление команд ping, используемых для задержки выполнения, а также отслеживание изменений в ключах реестра, часто используемых для закрепления в системе. Подобный аналитический подход, основанный на поиске не конкретных сигнатур, а подозрительных поведенческих паттернов, позволяет выявлять сложные угрозы даже при использовании ими техник обфускации. Появление подобных комбинированных кампаний подчёркивает необходимость для компаний переходить от реактивных мер защиты к проактивному поиску угроз, когда безопасность строится не только на предотвращении известных атак, но и на постоянном анализе поведения всех элементов корпоративной инфраструктуры.
Индикаторы компрометации
SHA256
- ebba8f4342b65faccdd2a48be9f2654d3fa523360f17ff68d5498a453f76c205
- fda9864b1aa230b60d0c736559415ac9c79e240cce411daed5da2facb9ced87c
