Китайские хакеры модернизируют бэкдор DeedRAT с помощью новых методов загрузки и скрытности

Уязвимость позволяет загружать вредоносную DLL через технику DLL Side-Loading, что делает атаку сложнее для обнаружения. Хотя ранее злоумышленники уже эксплуатировали легитимные антивирусные файлы для доставки вредоносного кода, это первый случай, когда в таких целях применяется MambaSafeModeUI.exe.

DeedRAT - это модульный бэкдор, который предоставляет злоумышленникам широкий функционал: от создания и изменения файлов до выполнения произвольного кода. Образец, проанализированный экспертами, использует TCP-соединение для связи с командным сервером (C2), однако бэкдор поддерживает и другие протоколы, включая HTTP, DNS, UDP, PIPE и TLS. Особенностью этой кампании стало появление нового модуля NetAgent, что свидетельствует о постоянном развитии вредоноса и добавлении новых возможностей.

Механизм заражения и запуска DeedRAT

Злоумышленники распространяют вредоносный архив ZIP, содержащий три файла: уязвимый исполняемый файл MicRun.exe, вредоносную DLL SBAMBRES.DLL и зашифрованный файл SBAMBRES.DLL.CC. При запуске MicRun.exe система загружает SBAMBRES.DLL, после чего в память дешифруется и выполняется шелл-код из SBAMBRES.DLL.CC. Далее вредонос копирует файлы в папку C:\ProgramData\MicroDefaults\, а для обеспечения постоянного присутствия в системе создает службу MicRun и добавляет ключ в реестр (HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicRun).

Затем вредонос перезапускается внутри процесса svchost.exe, что делает его менее заметным для средств защиты. Для предотвращения конфликтов создается мьютекс BaseNamedObjects\asdRFtDaDpobhkmfgUIYGBDURE, блокирующий одновременный запуск нескольких экземпляров. Связь с C2-сервером (luckybear669.kozow.com) осуществляется через порты 80 и 443 по протоколу TCP.

Особенности DeedRAT и новые методы обфускации

Одним из ключевых признаков DeedRAT является использование константы 0xDEED4554 для проверки целостности дешифрованного шелл-кода. Кроме того, вредонос применяет алгоритм LZ1 для сжатия следующей стадии заражения, которая затем распаковывается через RtlDecompressBuffer.

Для затруднения анализа злоумышленники внедрили несколько новых техник:

• Защита API с помощью XOR-шифрования - в отличие от предыдущих версий, загрузчик шифрует вызовы API с помощью арифметических операций.
• Мусорные" функции - в код добавлены фрагменты, не выполняющие полезных действий, что затрудняет обратную разработку.
• Кастомный алгоритм дешифровки - вместо RC4 используется линейный конгруэнтный генератор (LCG) с начальным значением 0xA893 и константами 0x48BF и 0x39A40.

Новый модуль NetAgent и будущие угрозы

Главным нововведением в этой версии стал модуль NetAgent, отвечающий за обработку запросов к серверу и управление несколькими соединениями через создание потоков. Хотя его функционал пока не полностью раскрыт, сам факт его добавления указывает на активную разработку вредоноса.

Кроме того, при установке персистентности теперь добавляется аргумент, генерируемый псевдослучайной функцией. Его значение соответствует шаблону "-[A-Z]{0,7}_[A-Z]{0,7}_[A-Z]{0,8}", что, вероятно, служит уникальным идентификатором машины и метода закрепления.

Выводы

Анализ показывает, что разработчики DeedRAT продолжают совершенствовать методы обхода защиты, активно используя уязвимости легитимного ПО и усложняя анализ кода. Добавление NetAgent и новых алгоритмов шифрования свидетельствует о повышении сложности атак, что требует усиления мер защиты, включая мониторинг DLL Side-Loading и анализ подозрительных сетевых подключений. Исследователи рекомендуют компаниям обновлять системы безопасности и обучать сотрудников распознаванию фишинговых атак.

Domains

• luckybear669.kozow.com

SHA256

• 2d9107edad9f674f6ca1707d56619a355227a661163f18b5794326d4f81a2803
• 52f489d47618db8dfb503d6da98cbd76d08b063cc7ce0aac02b03601b6cae6a1
• 99a0b424bb3a6bbf60e972fd82c514fd971a948f9cedf3b9dc6b033117ecb106
• e356dbd3bd62c19fa3ff8943fc73a4fab01a6446f989318b7da4abf48d565af2