В ходе мониторинга киберугроз исследователи Hunt Intelligence обнаружили подозрительный PowerShell-скрипт (y1.ps1), размещённый в открытом доступе на сервере в Китае (IP: 123.207.215.76). Этот скрипт представляет собой загрузчик shellcode, использующий методы выполнения в памяти для уклонения от детектирования. Он динамически разрешает вызовы Windows API, расшифровывает встроенный shellcode и загружает вредоносную полезную нагрузку. Первые признаки активности этого скрипта были зафиксированы 1 июня 2025 года, что побудило экспертов к более детальному анализу используемой инфраструктуры.
Описание
Обнаруженный загрузчик является частью активной пост-эксплуатационной кампании, использующей стелс-техники и инфраструктуру Cobalt Strike - популярного фреймворка для тестирования на проникновение, который часто эксплуатируется злоумышленниками. В данной статье рассматривается механизм работы shellcode, методы его маскировки, а также связь с известными серверами Cobalt Strike.
Технические детали атаки
После расшифровки shellcode инициирует соединение с сервером управления и контроля (C2), размещённым на облачной платформе Baidu Cloud Function Compute (y2n273y10j[.]cfc-execute[.]bj.baidubce[.]com). Для сокрытия своей активности скрипт использует хеширование API-вызовов, поддельные User-Agent строки и технику рефлексивной загрузки DLL прямо в память.
Анализ конфигурации полезной нагрузки выявил взаимодействие с IP-адресом 46.173.27.142, принадлежащим российской компании Beget LLC. SSL-сертификат, используемый для шифрования трафика, содержал данные субъекта "Major Cobalt Strike" и издателя "cobaltstrike", что является типичным признаком инфраструктуры Cobalt Strike.
Хотя основные индикаторы компрометации (IoC) связаны с серверами в Китае и России, исследователи также обнаружили узлы в США, Сингапуре и Гонконге. Это указывает на то, что злоумышленники используют распределённую инфраструктуру для повышения устойчивости своих операций.
Как работает загрузчик?
Скрипт y1.ps1 активируется на 64-битных системах и выполняет следующие действия:
- Декодирует Base64-закодированный массив байтов.
- Расшифровывает его с помощью XOR с ключом 35.
- Выделяет исполняемую память через вызов VirtualAlloc.
- Копирует расшифрованный shellcode в память и передаёт управление на его выполнение.
Методы уклонения от обнаружения
Одной из ключевых особенностей данного shellcode является использование API-хеширования. Вместо явного вызова функций Windows (например, LoadLibraryA или InternetOpenA), скрипт вычисляет их хеши и сравнивает с заранее заготовленными значениями. Это затрудняет статический анализ и позволяет обходить сигнатурные методы детектирования.
Кроме того, для подключения к C2-серверу используется HTTPS-трафик с поддельными User-Agent строками, имитирующими легитимные браузеры. Например:
"User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; yie9)"
Инфраструктура Cobalt Strike
После загрузки основного модуля shellcode соединяется с сервером Cobalt Strike (46.173.27.142, порт 50050), где развёрнут Beacon - бекдор для удалённого управления системой. SSL-сертификат этого узла содержит характерные метаданные, подтверждающие использование Cobalt Strike.
Анализ глобальной инфраструктуры злоумышленников показал, что подобные серверы разбросаны по всему миру. Поиск по SSL-сертификатам с IssuerOrganization "cobaltstrike" выявил 801 активный IP-адрес, что свидетельствует о масштабной эксплуатации данного фреймворка.
Выводы
Обнаруженная атака демонстрирует, что киберпреступники активно используют Cobalt Strike в сочетании с PowerShell-загрузчиками для скрытного проникновения в системы. Несмотря на простоту методов доставки, их эффективность остаётся высокой благодаря использованию облачных сервисов и техник обхода защиты.
Хотя точная атрибуция авторов данной кампании затруднена, совпадение с известными схемами эксплуатации Cobalt Strike позволяет предположить связь с финансово мотивированными группировками. Организациям рекомендуется усилить мониторинг PowerShell-активности, блокировать подозрительные SSL-сертификаты и регулярно обновлять сигнатуры систем защиты.
Индикаторы компрометации
IPv4
- 111.229.158.40
- 114.116.50.214
- 116.114.20.180
- 121.37.66.33
- 123.207.215.76
- 124.223.12.165
- 124.71.137.28
- 137.184.103.54
- 146.190.72.88
- 150.158.214.98
- 167.71.215.63
- 175.178.33.154
- 182.92.76.239
- 217.114.8.138
- 35.240.168.8
- 43.202.62.102
- 45.147.201.165
- 46.173.27.142
- 8.134.148.103
- 8.135.237.16
- 8.137.147.254
- 8.210.77.1
- 82.157.78.234
Domains
- y2n273y10j.cfc-execute.bj.baidubce.com
SHA256
- 1d4f814d06a3893545f51f1158d6677b1b083a90ab57ba03c58f8d26c29e5a10
- 1f0f4415b738198cc82359212f3ead281b7eb38070163a7782584f77346e619f
- 23a04d2ae94998b26c42c327f9344b784eb00d0a42c0ade353275bdedff9824f
- 27f88c7005f33bfc67731cb732c7c72e0cea7f97db1f15bcf5880d3e7f7f85eb
- 60652f62ec7772b611f3a62fd93d690e677b616e972a0444650f0a2ea597f77f
- 6954005ab1b1d2deec940181674000e394f860fe4f626d6b0abf63453d5fff48
- 69b1261eac205aefb6a5237ff3d87ef515e838184c1616ec935a4f7f4aa04ac1
- cdd757e92092b9a72dec0a7529219dd790226b82c69925c90e5d832955351b52
- ed2b7d55781414cdb3e0f64de6d9fea9bf282ee49e12b112f9e0748d5266fd60
- eed87a02d126c3ac0ab90a66f4e4a58f24d6a0f4028a2643e83a3a8b075cb5ac
