Многоступенчатая атака из Вьетнама: вредоносный CHM-файл доставляет Telegram-бота для управления системами

При открытии CHM-файла жертва видит окно с сообщением о повреждении документа. Кнопки "Да" и "Нет" в действительности запускают один и тот же встроенный скрипт. Этот скрипт с помощью штатной утилиты Windows hh.exe распаковывает содержимое CHM во временную папку. Затем запускается переносной интерпретатор Python, который выполняет скомпилированный байт-код. Такой подход позволяет обойти многие сигнатуры антивирусов, поскольку легитимные компоненты Windows не считаются подозрительными.

Аналитики выяснили, что Python-байт-код выступает лишь загрузчиком: он передает управление библиотеке DLL (динамически подключаемая библиотека), извлеченной из того же CHM. Эта DLL приступает к расшифровке основного содержимого, спрятанного в файле Word Document - 2026 BBBC.docx. На самом деле это не документ, а зашифрованный массив данных. Расшифровка проходит в два этапа с применением ключей XOR (логической операции исключающее ИЛИ). После первого прохода получается мусорный документ-приманка и большой "хвост" данных, который расшифровывается повторно. Из этого хвоста извлекаются несколько файлов: XML-файл для msbuild (инструмента сборки проектов Microsoft), файл .csproj с обфусцированным кодом, а также динамическая библиотека .NET, являющаяся дешифратором следующей ступени.

Вредоносная DLL не только подготавливает полезную нагрузку, но и обеспечивает закрепление в системе. Она изменяет ключ реестра HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, подставляя команду запуска msbuild.exe через PowerShell, используя переменные окружения для сокрытия строк. Кроме того, создается задача планировщика с именем Doubt, которая каждую пятницу в полночь выключает компьютер - вероятно, для принудительного перезапуска и активации механизма закрепления. Такой прием усложняет анализ и удаление компонентов.

После расшифровки всех элементов DLL запускает XML-файл mechaniSm.xml через msbuild.exe, что приводит к загрузке библиотеки ioy24euj.dll. Этот .NET-загрузчик, в свою очередь, расшифровывает и запускает в памяти финальный модуль - модифицированную версию легитимной библиотеки Rebex.Common.dll. Внутрь внедрен код Telegram-бота для удаленного управления (такие трояны называют RAT). Бот использует программный интерфейс мессенджера Telegram для связи с командным центром. Анализ встроенных параметров показал маркер бота и идентификатор чата. Среди команд - проверка связи, смена токена, загрузка файлов с сервера Telegram и выполнение произвольных команд через cmd.exe. Примечательно, что на момент публикации данный образец не обнаруживается ни одним антивирусным движком.

Эта атака демонстрирует высокий уровень технической подготовки и явно нацелена на конкретные организации во Вьетнаме. Многоступенчатость, использование легитимных утилит Windows, шифрование всех строк и компонентов, а также применение Telegram в качестве канала управления - все это усложняет обнаружение и анализ. Специалистам по информационной безопасности рекомендуется обращать внимание на необычную активность процессов hh.exe, msbuild.exe и планировщика задач, а также на изменения в реестровых ключах Winlogon. Регулярное обновление баз антивирусных продуктов и обучение персонала правилам обращения с вложениями из непроверенных источников остаются ключевыми мерами защиты.

Пока неизвестно, успели ли злоумышленники использовать данное вредоносное ПО в реальных атаках, однако сам факт появления такого образца в открытом доступе говорит о необходимости повышенного внимания к угрозам, маскирующимся под документы из Вьетнама. Специалисты продолжают исследовать цепочку и искать возможные связи с известными группами постоянных целевых атак (APT), действующими в регионе.

SHA256

• 1323278360d41a74ab09d310f08902087ff2798d1eda99be65d07c1b1123a25c
• 67b51a73c72f39b9cf41dd35eb22b369713ab2e576641b40b9089ebc9d4a1fb2
• 6db64b44305ff125f729713d7ff516e84e4ca38504a2ab0571eb19597f49feee
• a0d5b30578acd1df9139e7a8a4bfc659dc2cf48f4dc0c5804b70890adeb9fa21