Киберпреступники усиливают скрытность атак с использованием троянов удаленного доступа

Атака начинается с целевой фишинговой рассылки, где злоумышленники используют фальшивые счета-фактуры в качестве приманки. В письме присутствует вложение с файлом формата .xlam - архивным файлом Excel. При детальном анализе вложения исследователи обнаружили подозрительный файл oleObject1.bin в папке embeddings, содержащий поток Ole10Native, который часто используется для сокрытия зашифрованного вредоносного кода.

С помощью инструмента oledump специалистам удалось извлечь и проанализировать подозрительный поток, который оказался зашифрованным шеллкодом. Идентификация шеллкода стала возможной благодаря характерным признакам - последовательностям вызовов call с инструкциями jmp/pop и использованию хеширования API. Ключевым моментом стало обнаружение метода GetEIP по смещениям 0x000001D7, 0x000001D8 и 0x0000026F, который обеспечивает корректное выполнение шеллкода в памяти путем определения его местоположения.

Эмуляция шеллкода с использованием scdbg выявила вызовы Windows API GetProcAddress и ExpandEnvironmentStringsW, а также инструкцию unhooked call, что указывает на применение техник обхода систем безопасности. Дальнейший анализ показал использование API UrlMon с функцией UrlDownloadToFile для загрузки файла с адреса hxxp://alpinreisan1[.]com/UXO[.]exe и его сохранения в директорию %APPDATA%, после чего LoadLibraryW выполняет файл непосредственно в памяти.

Статический анализ загруженного файла UXO.exe показал, что это .NET-приложение с оригинальным именем KQuT.exe. Особое внимание привлек класс HashtaneProjeENSONhali, использующий System.Drawing - характерный признак для .NET-вредоносов, которые загружают следующие этапы атаки через ресурсы изображений. При отладке обнаружилось, что вредоносная программа извлекает массив байтов из класса Form_SecretaryDetail и загружает в память DLL-библиотеку CreativeAI.dll.

Анализ CreativeAI.dll выявил применение множественных техник защиты от анализа, включая RSACryptor, виртуализацию и Fake.cctor. Библиотека использует рефлективную инъекцию для загрузки в память следующего компонента - DriverFixPro.dll. Статический анализ этого файла показал наличие сильно обфусцированного кода, что значительно затрудняет исследование. Единственным возможным методом анализа остается пошаговая отладка с установкой точек останова.

Ключевым доказательством принадлежности к семейству XWorm стали строки UD_XWormClient 6.5, обнаруженные в дампе памяти. После успешной инъекции вредоносная программа устанавливает соединение с IP-адресом 158.94.209[.]180, который, согласно данным Virus Total, связан с доменом berlin101[.]com:6000, известным как командный сервер XWorm.

Данная кампания демонстрирует сложный многоэтапный процесс атаки, где каждый последующий этап загружается в память, что значительно усложняет обнаружение традиционными средствами защиты. Использование рефлективной загрузки DLL, мощной обфускации и нескольких уровней инъекций позволяет злоумышленникам эффективно скрывать вредоносную активность и поддерживать устойчивость в системе.

Эксперты по безопасности отмечают, что подобные методы становятся стандартом для современных угроз, ориентированных на кражу конфиденциальных данных. Организациям рекомендуется усилить защиту на уровне электронной почты, применять решения для мониторинга активности в памяти и регулярно обновлять сигнатуры систем обнаружения вторжений. Особое внимание следует уделять обучению сотрудников распознаванию фишинговых атак, поскольку именно социальная инженерия остается первоначальным вектором проникновения в большинстве подобных случаев.

IPv4 Port Combinations

• 158.94.209.180:6000

Domain Port Combinations

• berlin101.com:6000

URLs

• http://alpinreisan1.com/HGR.exe
• http://alpinreisan1.com/HGX.exe
• http://alpinreisan1.com/UXO.exe

SHA1

• 04b93bef69ccad7bf8ac4e5c4ee87191ab750cca
• 0e2e77ed3a826f1926de588a9827479fe0d8c494
• 78a6e7ff6a7f584481d99919458b990a6945fa0c
• d97ed60de226af9876769ac2e94185cf1b25d676
• ec8ac36d43b18781ba991d3f96243671fd19ee0d
• eed853525f94896aea67eea5c6897329107a07e6