Южнокорейский центр мониторинга угроз ASEC (AhnLab Security Intelligence Center) обнаружил активную кампанию по распространению вредоносного программного обеспечения через сайты местных VPN-провайдеров. Эксперты связывают эту атаку с группировкой Larva-24010, которая действует с 2023 года и ранее уже атаковала VPN-компании.
Описание
Особенностью последней кампании стало использование нового бэкдора под названием NKNShell, а также сохранение MeshAgent - инструмента удаленного администрирования, который злоумышленники применяли в предыдущих атаках. Аналитики отмечают схожесть характеристик, включая пути PDB (Program Database) в скомпилированных файлах.
Заражение происходит следующим образом: пользователь загружает с поддельного сайта архив, содержащий установщик VPN. При его запуске параллельно с легитимной программой активируется PowerShell-скрипт, который загружает и исполняет дополнительные вредоносные модули. В конечном счете на систему устанавливаются бэкдоры NKNShell, MeshAgent и утилита gs-netcat для создания обратного соединения.
NKNShell представляет особый интерес, поскольку использует для связи с командным сервером (C&C) два протокола: NKN (New Kind of Network) на базе блокчейна и MQTT (Message Queuing Telemetry Transport) для обмена сообщениями. Этот бэкдор написан на Go и способен выполнять широкий спектр команд, включая сбор системной информации, выполнение произвольного кода, кражу учетных данных и DDoS-атаки.
Признаком использования искусственного интеллекта при создании вредоноса стали корейские комментарии и эмодзи в коде. NKNShell внедряется в легитимные процессы, такие как Microsoft Edge, Блокнот, Калькулятор и Paint, что затрудняет его обнаружение.
MeshAgent, другая компонента атаки, предоставляет злоумышленникам полный контроль над системой, включая выполнение команд, доступ к файлам и удаленное управление через VNC и RDP. Постоянство (persistence) достигается за счет регистрации WMI-фильтра с именем Cleanup, который перезапускает вредоносные скрипты.
Третий элемент, gs-netcat, обеспечивает обход сетевых ограничений через Global Socket Relay Network (GSRN). Утилита настраивается на автоматический запуск через планировщик задач Windows под именем Windows Linux System.
Эксперты ASEC также обнаружили в коде ссылки на SQLMap - инструмент для автоматизации проверок уязвимостей SQL-инъекций, который может использоваться для дальнейшего расширения атаки на корпоративную сеть.
Рекомендации по защите включают проверку источников загрузки VPN-клиентов, использование репутационных сервисов для анализа файлов, а также мониторинг сетевой активности на предмет подключений к известным C&C-серверам. Кроме того, важно обновлять системы обнаружения вторжений (IDS) и предотвращения вторжений (IPS) сигнатурами для новых угроз.
Данный случай демонстрирует растущую сложность атак на поставщиков доверенного программного обеспечения и важность проверки целостности дистрибутивов перед установкой.
Индикаторы компрометации
Domains
- kttelecom.duckdns.org
- spiffy-crepe-c667e8.netlify.app
URLs
- https://camo.hach.chat/?proxyUrl=https://dnot.sh/
- https://inspiring-monstera-5c3688.netlify.app/afsocks
- https://microsoft.devq.workers.dev/newms.exe
- https://openai-proxy.napdev.workers.dev/?url=https://pub-fd29cd63fb8c4b7fb0c7d3fa893212b9.r2.dev/Protect.exe
- https://proxy.wingram.org/?proxyUrl=https://microsoft.devq.workers.dev/newms.exe
MD5
- 0696da5b242023308ad45c50666b2b96
- 0dfea610a526b0d458e84c6cd604b2ab
- 21067f677b8ac8d843a56cd2c19356ff
- 2e9bf8bf256a0c60402e05d6f20c6e3d
- 60f153778e843fc04c6ab239ca650a89
