Киберугроза WARMCOOKIE: год эволюции бэкдора и новые методы обнаружения

Недавнее открытие команды IBM X-Force пролило свет на новый сервис вредоносного ПО (Malware-as-a-Service, MaaS) под названием CASTLEBOT, который занимается распространением WARMCOOKIE. Это подтверждает, что бэкдор остается востребованным инструментом в арсенале киберпреступников.

Эволюция функциональности

С момента первоначальной публикации летом 2024 года разработчики WARMCOOKIE существенно расширили его возможности. Были добавлены четыре новых обработчика команд, предоставляющих расширенные возможности для запуска исполняемых файлов, библиотек DLL и скриптов. Эти обработчики позволяют выполнять PE-файлы, DLL-библиотеки, PowerShell-скрипты, а также запускать DLL с определенной точкой входа.

В последних сборках WARMCOOKIE наиболее распространена функциональность выполнения DLL и EXE-файлов, тогда как возможности работы со скриптами PowerShell встречаются значительно реже. Все эти механизмы используют единую функцию с передачей различных аргументов для каждого типа файлов. Обработчик создает папку во временном каталоге, записывает содержимое файла во временный файл в новой папке, а затем выполняет его непосредственно или с помощью rundll32.exe или PowerShell.exe.

Маскировка под легитимное программное обеспечение

Одним из значительных изменений стало внедрение так называемого "банка строк" - списка названий реальных компаний, используемых для создания путей к папкам и имен запланированных задач. Этот подход служит целям скрытности, позволяя вредоносной программе размещаться в каталогах, выглядящих как легитимное программное обеспечение.

В отличие от предыдущих версий, где путь был жестко задан (например, C:\ProgramData\RtlUpd\RtlUpd.dll), теперь используется динамический метод выбора имен из предопределенного списка во время выполнения программы. Для случайного выбора строк из банка используется функция GetTickCount в качестве начального значения для генератора псевдослучайных чисел.

Исследовательская группа установила, что источником для банка строк служит веб-сайт, используемый для оценки и поиска репутационных IT-компаний и программных продуктов. Это демонстрирует стремление злоумышленников максимально затруднить обнаружение своей деятельности.

Технические улучшения и оптимизация

Среди менее значительных, но важных изменений - замена параметра командной строки /p на /u для определения необходимости создания запланированной задачи. Это, вероятно, предназначалось для обхода сигнатур, основанных на предыдущих отчетах.

В новой версии WARMCOOKIE теперь внедрены два отдельных GUID-подобных мьютекса, которые используются в комбинации для лучшего контроля инициализации и синхронизации. В предыдущих версиях использовался только один мьютекс.

Заметным улучшением в последних версиях стала оптимизация кода. Реализация стала cleaner с меньшим количеством встроенной логики, что улучшает читаемость, производительность и сопровождаемость программы.

Анализ конфигураций и идентификация кампаний

С июля 2024 года образцы WARMCOOKIE включают поле идентификатора кампании (Campaign ID), которое используется операторами в качестве метки, предоставляющей контекст о заражении, включая метод распространения. Например, обнаружен образец с идентификатором кампании "traffic2".

На основе извлеченных конфигураций образцов за последний год исследователи выдвинули гипотезу, что встроенный RC4-ключ может использоваться для различения операторов, использующих WARMCOOKIE. Хотя это не доказано окончательно, наблюдения за различными образцами показали emerging patterns при кластеризации по RC4-ключу.

Используя RC4-ключ, можно отследить overlapping тем кампаний с течением времени. Например, сборка с RC4-ключом 83ddc084e21a244c использует ключевые слова bing, bing2, bing3 и aws для маппинга кампаний. Интересно, что именно эта сборка является единственным вариантом, имеющим возможности выполнения PowerShell-скриптов, тогда как большинство современных сборок содержат обработчики DLL/EXE.

Другие идентификаторы кампаний используют термины lod2lod, capo или PrivateDLL. Впервые в образце за июль 2025 года исследователи наблюдали использование встроенных доменных имен вместо числовых IP-адресов в WARMCOOKIE.

Инфраструктура и методы отслеживания

После извлечения информации об инфраструктуре из этих конфигураций особое внимание привлек один SSL-сертификат. Исследователи предполагают, что этот сертификат возможно является сертификатом по умолчанию, используемым для back-end части WARMCOOKIE.

Примечательно, что в сертификате указана дата окончания действия - 24 ноября 2024 года, что делает его просроченным. Однако новая (и повторно используемая) инфраструктура продолжает инициализироваться с использованием этого expired сертификата. Это не полностью новая инфраструктура, а скорее реконфигурация редиректоров для придания новой жизни существующей инфраструктуре. Это может указывать на то, что владельцы кампаний не обеспокоены возможностью обнаружения своих C2-серверов.

Значимость WARMCOOKIE была подчеркнута в мае 2025 года во время операции Europol Endgame, в ходе которой были нарушены операции нескольких известных семейств вредоносных программ, включая WARMCOOKIE. Несмотря на это, бэкдор продолжает активно использоваться в различных кампаниях malvertising и спам-рассылках.

Elastic Security Labs продолжает наблюдать заражения WARMCOOKIE и развертывание новой инфраструктуры для этого семейства. На протяжении последнего года разработчик постоянно вносил обновления и изменения, что свидетельствует о том, что угроза сохранит свою актуальность в обозримом будущем. Благодаря избирательному использованию, WARMCOOKIE продолжает оставаться под радаром массового обнаружения. Распространение этой информации позволит организациям лучше защититься от данной угрозы и разработать эффективные контрмеры.

IPv4

• 107.189.18.183
• 109.120.137.42
• 149.248.58.85
• 149.248.7.220
• 151.236.26.198
• 155.94.155.155
• 170.130.165.112
• 170.130.55.107
• 178.209.52.166
• 185.161.251.26
• 185.195.64.68
• 185.49.68.139
• 185.49.69.102
• 192.36.57.164
• 192.36.57.50
• 194.71.107.41
• 194.87.45.138
• 195.82.147.3
• 38.180.91.117
• 45.153.126.129
• 62.60.238.115
• 83.172.136.121
• 85.208.84.220
• 87.120.126.32
• 87.120.93.151
• 89.46.232.247
• 89.46.232.52
• 91.222.173.219
• 91.222.173.91
• 93.152.230.29

Domains

• storsvc-win.com

SHA256

• 169c30e06f12e33c12dc92b909b7b69ce77bcbfc2aca91c5c096dc0f1938fe76
• 5bca7f1942e07e8c12ecd9c802ecdb96570dfaaa1f44a6753ebb9ffda0604cb4
• 9d143e0be6e08534bb84f6c478b95be26867bef2985b1fe55f45a378fc3ccf2b
• b7aec5f73d2a6bbd8cd920edb4760e2edadc98c3a45bf4fa994d47ca9cbd02f6
• c7bb97341d2f0b2a8cd327e688acb65eaefc1e01c61faaeba2bc1e4e5f0e6f6e
• e0de5a2549749aca818b94472e827e697dac5796f45edd85bc0ff6ef298c5555
• f4d2c9470b322af29b9188a3a590cbe85bacb9cc8fcd7c2e94d82271ded3f659