Киберпреступники активно атакуют США через уязвимости в инструментах удаленного управления

Анализ показал, что атакующие размещают троянизированные установщики в открытых директориях, используя их как платформы для распространения вредоносного кода. Были идентифицированы по меньшей мере восемь инфраструктурных хостов, связанных с этой деятельностью, включая 176.65.139[.]119, 45.74.16[.]71 и 164.68.120[.]30. На этих серверах обнаружены многочисленные файлы с похожими названиями, такие как logs.ldk и logs.idr, размером от 60 КБ до 3 МБ.

Особенностью кампании стало использование двух путей выполнения: загрузка сборки .NET в память для систем с защитой антивируса и нативная инъекция через libPK.dll::Execute для остальных случаев. Для обеспечения устойчивости атаки злоумышленники создавали частые задания в планировщике задач с интервалом каждые 2-10 минут.

Сетевые коммуникации AsyncRAT охватывают как стандартные порты (21/80/111/443), так и множество кратковременных портов в диапазоне 30000-60000, часто с использованием шифрования TLS. Это указывает на сложную инфраструктуру управления и контроля, предназначенную для долгосрочной эксплуатации.

Исследователи также выявили механизмы фишинга, которые используют поддельные уведомления от IRS и USPS для доставки установщиков ScreenConnect. Перенаправление через вредоносный редиректор, такой как police.html, приводило к внешним ресурсам, которые загружали вредоносные нагрузки с помощью схемы ClickOnce.

Анализ шестимесячной телеметрии показал устойчивую инфраструктуру AsyncRAT с ротацией портов, TLS-шифрованием и автоматизированным развертыванием. Такая тактика демонстрирует переход от случайных атак к целенаправленным и скрытным операциям, нацеленным на критически важные организации.

Для защиты эксперты рекомендуют применять строгое разрешительное управление для установщиков и инструментов удаленного управления, блокировать подозрительные шаблоны загрузки, такие как /Bin/, и развертывать поведенческие системы обнаружения. Важно ограничить выполнение скриптов из общедоступных папок и усилить мониторинг сетевой активности на нестандартных портах.

Обнаруженная кампания подчеркивает необходимость перехода от сигнатурных методов обнаружения к комплексному анализу поведения и оперативных методик противника. Фокусировка на тактиках, методах и процедурах (TTP) позволит эффективнее противостоять развивающимся угрозам, использующим легитимное программное обеспечение в вредоносных целях.

IPv4

• 164.68.120.30
• 176.65.139.119
• 185.208.159.71
• 45.74.16.71
• 94.154.173.145

IPv4 Port Combinations

• 78.161.14.229:753
• 78.162.57.179:753
• 88.229.27.40:753

Domains

• dp.vdpanxxs.top
• dual.saltuta.com
• galusa.ac.mz
• sc.vdpanxxs.top
• verify.uniupdate.net
• vixgstxpnl.top

SHA256

• 0736e890f62b920c4489928254d5c0e5e67584dfb1c8649f08b62e400d28e882
• 1f7b509db8424453b8bb3a45053f3bc47f98414b168a67f253c10f0f6fb83936
• 521769c955761f7fc625eae2006f4dabcf36ce3169309e0ad111e7b7b29748af
• 54b762e05af1a1138786a78e9936d63f4e419bbeb0d116c2cee7376566420382
• 5705e818447ec8f7c480a2bf28337b002d66b293b7450b7a993bf26ac9fee60f
• 6142295a7f7ce60b86738e07d79b72d5a3edb3d5915aa9fb6c81ea752a9cd229
• 701e702f91942acef4d6afdda2abf70ed8618cde2f2ef3b174b092373c63c033
• 81aa861eb0fc8403e4a8be6f0f9eb8be494cc12571f98210e08a88d81a2c815c
• 8d5b8061b3f6b899583bbf20e78c13bb2b44b9dff4c6c302c8c278725dc5a34d
• 98ef82f2f9861f1a0062a3c1b88184b28e6bf304856bfc6d8087ff28df113710
• 9cd11a25896a9e7a54aeaf0cc249a8ebcaada74168d2bdd2d51d8313a7293dce
• ab2f559b05cfa32bc66c317260f51970699602ad06030e16bba66cf1bd20902e
• aca3f0bf08779478f2b0ce7da16e8c87f8a860ae96d3e88d94c2907aae31ff0d
• b97d0a646c8aece8f5c4cedb26da808ec5104038c7871ad0481f75df7a75c59d
• c7936cc04631bc9d4ed7a9be3a5638193fac57cb3ccfa7ce037aa2b0fe24cad7
• cf9729e363562878a7027e0f8eab00d3853fe6a267fc654fae511a751cf6851a
• e4afc06b31849f0a9c463e2599906a93914727a1f5b08d0ebfe1990965ebc41f
• ec7514d1be0ba0b2a9059759d2885f81f1e887e1559a1630f6c380e11f7bf7d3
• ff529b5e54b079ff9a449e933b6042c2403f15d0de9ee9dbfb0c51e56bf13fad