В ходе недавнего расследования продвинутой непрерывной охоты на угрозы (Advanced Continual Threat Hunt, ACTH) эксперты группы Trustwave SpiderLabs обнаружили мошенническую кампанию, в которой злоумышленники использовали поддельный контент на тему искусственного интеллекта для заманивания пользователей. Жертв побуждали запустить вредоносный (malicious) предварительно сконфигурированный установщик ScreenConnect, который, хотя и был подписан цифровой подписью и маскировался под легитимный, содержал скрытую функциональность трояна удаленного доступа (Remote Access Trojan, RAT).
Описание
Многоэтапная цепочка заражения включала полезную нагрузку, размещенную на GitHub, и была нацелена на инфицирование компьютеров жертв программой Xworm - известным RAT, распространяемым по модели «вредоносное ПО как услуга» (malware-as-a-service). Примечательно, что многие этапы этой атаки обходили систему оповещений EDR (Endpoint Detection and Response, обнаружение и реагирование на конечных точках), и для выявления вредоносного поведения потребовался ручной анализ временной шкалы событий в защитнике Windows (Microsoft Defender), что подчеркивает критичность роли охоты за угрозами в современных стратегиях обнаружения.
Первоначальный доступ был получен путем обмана пользователей, которых заставляли загрузить замаскированный измененный установщик. Злоумышленники использовали различные методы социальной инженерии: фишинг, вредоносную рекламу (malvertising) и посты в социальных сетях. В одном из наблюдаемых случаев пользователь был перенаправлен на подозрительный сайт после посещения поддельного ИИ-сайта.
![Скриншоты сайтов gptgrok[.]ai (слева) и anhemvn6[.]com (справа) в момент, когда они еще были активны.](https://1275.ru/wp-content/uploads/2025/08/skrinshoty-saytov-gptgrok.ai-sleva-i-anhemvn6.com-sprava-v-moment-kogda-oni-esche-byli-aktivny.png)
Клиент был предварительно сконфигурирован для скрытого подключения к удаленному серверу ScreenConnect под контролем злоумышленников. Интересно, что для модификации поведения приложения без аннулирования его цифровой подписи атакующие манипулировали технологией подписи кода Microsoft Authenticode.
После установки клиент успешно устанавливал удаленный сеанс, что позволяло атакующему выполнять дальнейшие действия по своей цепочке. В ходе удаленного сеанса на машину жертвы был сброшен и выполнен файл «X-META Firebase_crypted.bat», что привело к выполнению скрипта через mshta.exe. Основной целью этой активности был запуск cmd.exe для загрузки и извлечения zip-архива «5btc.zip» с домена, использующего ту же схему именования.
Файлы извлекались в новую папку «xmetavip» на диске C:\, после чего запускался переименованный pythonw.exe (в pw.exe), который выполнял команду, закодированную в Base64. После декодирования выяснилось, что это попытка выполнить код Python из публичного репозитория на GitHub. Такой файловый метод выполнения (fileless execution), вероятно, использовался для уклонения от статических механизмов обнаружения.
Содержимое файла было не только закодировано, но и сильно запутано (обфусцировано). Было установлено, что оно выполняет внедрение кода в процессы (process injection) - в наблюдаемом случае в chrome.exe и msedge.exe - по сценарию техники process hollowing. Эти экземпляры веб-браузеров также запускались на скрытом рабочем столе, чтобы избежать обнаружения законным пользователем.
В ходе выполнения также был реализован механизм обеспечения постоянства (persistence). С помощью команды reg.exe было изменено значение в автозагрузке реестра Windows, чтобы при каждом входе пользователя в систему выполнялся файл «backup.bat». Это обеспечивало постоянное присутствие вредоносной программы в системе.
Кроме того, в цепочке выполнения наблюдались события, указывающие на попытки доступа к учетным данным и разведки (Credential Access and Discovery). С помощью запросов WMI извлекалась информация об операционной системе и установленных антивирусных продуктах. Также предпринимались попытки доступа к чувствительным файлам браузеров, таким как базы данных логинов.
Расследование показало, что репозиторий на GitHub, размещавший вредоносный код, содержал 11 файлов, созданных всего за неделю до наблюдаемой активности. Все файлы, замаскированные под текстовые, содержали сильно обфусцированный код Python. Проанализированные строки показали, что большинство файлов реализуют механизм постоянства через запись в реестр, а их значение пытается имитировать легитимные системные операции.
Файлы из репозитория можно разделить на две группы: одна отвечает за создание постоянства и загрузку второй группы, файлы которой служат конечной полезной нагрузкой и по своему поведению и содержанию относятся к XWorm RAT. В ходе анализа бинарных файлов также был извлечен IP-адрес командного центра (C2), который на момент анализа не распознавался как вредоносный на VirusTotal.
Наблюдаемая активность отражает растущую тенденцию среди злоумышленников: использование брендинга, связанного с ИИ, и перепрофилирование легитимных инструментов удаленного доступа для распространения массового вредоносного ПО. Эта кампания демонстрирует, как атакующие используют текущий интерес к искусственному интеллекту для повышения доверия к своим методам социальной инженерии.
Важно отметить, что это расследование было driven охотой на угрозы и проводилось с помощью анализа, led человеком, что является критически важным компонентом для выявления угроз, ускользающих от автоматических систем. Хотя машинное обучение и автоматическое обнаружение играют vital роль в современной кибербезопасности, они не являются непогрешимыми. Опытные противники все чаще создают кампании, чтобы обойти эти защиты, что делает экспертный анализ угроз более essential чем когда-либо.
Результаты работы команды SpiderLabs доказывают ценность проактивного, ориентированного на человека анализа угроз и подчеркивают стратегическую важность инвестиций в квалифицированных специалистов, которые могут мыслить как противник, адаптироваться к развивающимся методам и раскрывать скрытые угрозы до того, как они нанесут ущерб.
Индикаторы компрометации
IPv4 Port Combinations
- 5.181.165.102:7705
URLs
- https://anhemvn4.com/5btc.zip
- https://anhemvn6.com
- https://github.com/trieule99911/vianhthuongbtc
- https://gptgrok.ai
- https://raw.githubusercontent.com/trieule99911/vianhthuongbtc/refs/heads/main/abcdegia.txt
- https://raw.githubusercontent.com/trieule99911/vianhthuongbtc/refs/heads/main/backpuppure.txt
- https://raw.githubusercontent.com/trieule99911/vianhthuongbtc/refs/heads/main/basse64.txt
- https://raw.githubusercontent.com/trieule99911/vianhthuongbtc/refs/heads/main/buquabua.txt
- https://raw.githubusercontent.com/trieule99911/vianhthuongbtc/refs/heads/main/cccccccccccccccccccccccc.txt
- https://raw.githubusercontent.com/trieule99911/vianhthuongbtc/refs/heads/main/exepurelog.txt
- https://raw.githubusercontent.com/trieule99911/vianhthuongbtc/refs/heads/main/Exppiyt.txt
- https://raw.githubusercontent.com/trieule99911/vianhthuongbtc/refs/heads/main/Hzcbmqnqwlv.txt
- https://raw.githubusercontent.com/trieule99911/vianhthuongbtc/refs/heads/main/Nhwneafyp.txt
- https://raw.githubusercontent.com/trieule99911/vianhthuongbtc/refs/heads/main/purecoookielog.txt
- https://raw.githubusercontent.com/trieule99911/vianhthuongbtc/refs/heads/main/x-metavn.txt
MD5
- 01cb34d362e688ea637582370b981402
- 07c20378fc00934bf62a0986f8da58c8
- 2c0ac59a823ff90a179ba1144d142eb2
- 2fa26c5f869c26e17ce5617cce46efd0
- 3baf507303132c234dba993cc804bd68
- 4f17dbaf42ad92f56b24d33067a4d52f
- 8c2e092079906c5f59c7d9ee5e139bb5
- 94b3eab92f9ff8cd02bf4b5dbcc17e5c
- 9b34d9dccd512ededa25ba0a2d13a875
- a1377a061b6da88d81bd104e85cb3101
- b33c6c77a7adda12e70766f02dbe8205
- B7d98c93307eb75126d41bf40fa3d724
- bcd902751a6bebda00a417c880937a25
- f9f6e3826343cc9c11495852596593d4
SHA256
- 5769ce40411966de7085fd4a551f65900d77d7badee2c818f16b54d0dc4f5e46
- e4a7853cacf4dfe42d465ee64e9b4b7aaaa229a34ac913e1fd2359c09578db5f
