Кампания Twill Typhoon: хакеры из Китая атакуют Азиатско-Тихоокеанский регион с помощью подмены легитимного софта

Группировка, связанная с китайскими государственными структурами, демонстрирует всё более изощренный подход. Вместо создания вредоносных файлов с нуля атакующие предпочитают прятаться внутри доверенных процессов. Это делает их присутствие практически незаметным для классических антивирусных решений, которые ищут сигнатуры вредоносного кода, а не аномалии в поведении системы.

Как сообщается в аналитическом отчете Darktrace, атака начинается с того, что жертву заставляют перейти на подставные веб-ресурсы. В ходе расследования эксперты обнаружили инфраструктуру, имитирующую сервисы Yahoo и Apple. Жертва, пытаясь скачать, казалось бы, нужный файл, получает стандартный установщик. Однако вместе с легитимным исполняемым файлом загружается подставленная злоумышленниками конфигурация и вредоносная DLL-библиотека (библиотека динамической компоновки).

Именно здесь кроется ключевая техническая особенность. Легитимная программа, например редактор ввода Sogou Pinyin (biz_render.exe), при запуске пытается загрузить свою стандартную библиотеку browser_host.dll. Хакеры обнаружили эту особенность и просто подменили оригинальный файл своим. В результате вредоносный код выполняется в контексте абсолютно доверенного приложения. Далее срабатывает целый каскад загрузчиков: вредоносная DLL через вызовы Windows Common Language Runtime (среда исполнения управляемого кода) загружает в память машины полезную нагрузку - так называемый .NET RAT (удаленный троян удаленного доступа).

Сам троян, получивший название Client.TcpDmtp, представляет собой сложный программный каркас. Он использует для связи с командным центром (C2) нестандартный протокол DMTP (Duplex Message Transport Protocol), который базируется на более ранней версии FDMTP. Код трояна сильно запутан: все строки зашифрованы и дешифруются только в оперативной памяти при помощи специального XOR-ключа. Это стандартный прием, позволяющий обходить системы обнаружения вторжений, которые анализируют файлы на диске.

Чтобы закрепиться в системе после перезагрузки, троян использует несколько механизмов. Во-первых, он создает задачу в планировщике Windows. Во-вторых, он прописывает себя в системный реестр, маскируясь под настройки редактора ввода (IME). В-третьих, атакующие используют технологию ClickOnce, подменяя конфигурационный файл dfsvc.exe.config, что заставляет стандартный системный процесс Loader загружать их библиотеку.

Отдельного внимания заслуживает модульная архитектура вредоносной программы. Она не статична. Внутри тела трояна находятся десятки сжатых библиотек. Среди них были идентифицированы как минимум четыре подключаемых модуля. Один из них, Persist.WpTask.dll, отвечает за управление задачами планировщика Windows, другой (Persist.registry.dll) - за операции с реестром. Модуль Assist.dll дает злоумышленникам возможность удаленно запускать команды и манипулировать процессами. Самый интересный модуль, Persist.extra.dll, отвечает за загрузку основного фреймворка из внешнего источника. Он подключается к домену icloud-cdn[.]net, каждые пять минут проверяет версию и скачивает обновления в зашифрованном виде.

К каким последствиям это приводит? Зараженный компьютер становится полностью управляемым узлом ботнета. Злоумышленники могут украсть учетные данные, остановить работу критических приложений, установить дополнительное вредоносное ПО или использовать машину как точку входа для продвижения вглубь корпоративной сети (вертикального перемещения). Учитывая, что атаки направлены на финансовый сектор, потери от утечки данных или промышленного шпионажа могут быть колоссальными.

Для специалистов по защите информации этот случай - наглядная демонстрация того, почему старые методы борьбы с угрозами работают всё хуже. Бесполезно составлять списки вредоносных доменов или хэшей файлов - инфраструктура и сами вредоносные сборки меняются ежедневно. Единственный по-настоящему надежный способ защиты, как отмечают исследователи Darktrace, - это выявление аномалий в поведении процессов. Если легитимный редактор ввода Sogou Pinyin начинает подгружать библиотеки из нетипичного места или обращаться к неизвестным IP-адресам, это уже повод для тревоги. Внедрение поведенческого анализа и отслеживание цепочек выполнения, а не отдельных артефактов, становится для бизнеса не рекомендацией, а жизненной необходимостью.

IPv4

• 154.223.58.142

Domains

• www.icloud-cdn.net
• www.yahoo-cdn.it.com

MD5

• 067fbad4d6905d6e13fdc19964c1ea52
• 162f69fe29eb7de12b684e979a446131
• 2cd781ab63a00ce5302ed844cfbecc27
• 482cc72e01dfa54f30efe4fefde5422d
• b2c8f1402d336963478f4c5bc36c961a
• c17f39d25def01d5c87615388925f45a
• c650a624455c5222906b60aac7e57d48
• df3437c88866c060b00468055e6fa146
• fc3959ebd35286a82c662dc81ca658cb