Неизвестное вредоносное ПО использует Azure Functions для командного управления

Файл Servicenow-BNM-Verify.iso содержит четыре файла, два из которых скрыты. Основным вектором атаки стал ярлык servicenow-bnm-verify.lnk, который запускает легитимный исполняемый файл PanGpHip.exe от Palo Alto Networks. Метаданные ярлыка указывают на машину разработки злоумышленников: компьютер desktop-rbg1pik, пользователя john.GIB и дату создания 25 августа 2025 года. Несмотря на то, что путь к целевому файлу указывает на несуществующую на устройстве жертвы директорию, ярлык автоматически ищет исполняемый файл в текущей папке.

Ключевым элементом атаки является скрытая библиотека libwaapi.dll, которая загружается легитимным приложением через механизм DLL side-loading. Единственная экспортируемая функция wa_api_setup реализует сложную логику для скрытного выполнения вредоносного кода. Она скрывает консольное окно, создает мьютекс для контроля множественных запусков и инициирует процедуру инъекции полезной нагрузки в память.

Процесс инъекции начинается с вычисления SHA-256 хэша строки rdfY*&689uuaijs, который используется как ключ RC4 для дешифровки. После успешного вычисления хэша происходит деобфускация имени библиотеки chakra.dll с помощью модифицированного шифра Цезаря. Легитимная версия chakra.dll загружается из системной директории, после чего злоумышленники находят первую исполняемую секцию, изменяют ее права доступа на запись и полностью очищают ее содержимое.

В очищенную секцию декодируется и расшифровывается полезная нагрузка из секции .data вредоносной DLL. После записи проводится проверка целостности путем сравнения SHA-2 хэша внедренного кода с жестко заданным значением. При успешной проверке права доступа возвращаются к исполняемым, и payload начинает выполнение.

Полезная нагрузка представляет собой обфусцированный shellcode, который загружает встроенную DLL. Анализ показал, что встроенный portable executable сжат с использованием алгоритма LZNT1 с максимальным уровнем сжатия. После декомпрессии исследователи получили обфусцированную DLL с измененной датой создания (5 мая 1984 года), что указывает на преднамеренное маскирование.

Основная вредоносная функциональность реализована в экспортируемой функции DllUnload. Предварительный анализ указывает на реализацию техник модульного анхукинга для избежания обнаружения. Финальный payload устанавливает связь с командным сервером через HTTPS POST запросы к logsapi.azurewebsites[.]net/api/logs, используя Azure Functions как серверless-инфраструктуру для управления.

Перехваченные данные перед шифрованием представляют собой XML с детальной информацией о системе жертвы: имя компьютера, пользователя, время работы ОС, архитектуру процессора, версию протокола, процесс выполнения вредоносного кода и родительский процесс. Интересной деталью является указание сборки ОС как 1337 (традиционное число в хакерской культуре), что может указывать на ручное тестирование в среде разработчиков.

9 сентября исследователь @L3hu3s0 обнаружил второй образец с идентильным импортом функций, загруженный из Сингапура, что подтверждает продолжающуюся кампанию. Оба образца демонстрируют высокий уровень технической сложности и использование нестандартных техник уклонения от обнаружения. Исследование продолжается, и ожидается публикация дополнительных технических деталей по мере деобфускации финального payload.

Использование легитимных облачных сервисов like Azure Functions представляет серьезную проблему для традиционных систем безопасности, поскольку такой трафик часто воспринимается как доверенный. Организациям рекомендуется усилить мониторинг исходящих соединений к облачным платформам и реализовать строгие политики контроля целостности программного обеспечения.

Domains

• logsapi.azurewebsites.net

SHA256

• 0ba328aeb0867def650694c5a43fdd47d719c6b3c55a845903646ccdbf3ec239
• 1fa3e14681bf7f695a424c64927acfc26053ebaa54c4a2a6e30fe1e24b4c20a8
• 28e85fd3546c8ad6fb2aef37b4372cc4775ea8435687b4e6879e96da5009d60a
• 550c27fd8dc810df2056f1ec4a749a94ab4befc8843ba913c5f1197ef381a0a5
• 9e312214b44230c1cb5b6ec591245fd433c7030cb269a9b31f0ff4de621ff517
• b03a2c0d282cbbddfcf6e7dda0b4b55494f4a5c0b17c30cd586f5480efca2c17
• b778d76671b95df29e15a0af4d604917bfba085f7b04e0ce5d6d0615017e79db
• c0fc5ec77d0aa03516048349dddb3aa74f92cfe20d4bca46205f40ab0e728645