Вредоносная активность, нацеленная на немецкоязычных пользователей, демонстрирует возвращение давно известной, но редко применяемой в последнее время техники сокрытия вредоносной нагрузки внутри образов виртуальных дисков. Жертва получает ZIP-архив, содержащий файл с расширением VHDX. Современные версии Windows автоматически монтируют такие образы, что и происходит сразу после разархивирования. Внутри образа обнаруживается JavaScript-файл, замаскированный под деловое предложение о партнёрстве. Именно этот скрипт запускает цепочку заражения, ведущую к установке известного удалённого доступа (RAT) Remcos.
Описание
Сам факт использования дисковых образов в качестве контейнера для вредоносного кода - не новая идея. Подобные случаи фиксировались и ранее, однако в последние годы злоумышленники редко прибегали к такому методу. В данной кампании он применяется для обхода большинства рубежей защиты на уровне шлюзов и почтовых фильтров. ZIP-архив, VHDX и JavaScript на первый взгляд не вызывают подозрений у многих антивирусных движков. Согласно данным из присланного отчёта, детект JavaScript на VirusTotal составил всего 5 из 57, что говорит о крайне низкой узнаваемости угрозы на момент анализа.
Многоступенчатая архитектура атаки включает три этапа, каждый из которых выполняет свою задачу и дополнительно маскирует активность от средств мониторинга. На первом этапе JavaScript, обильно наполненный комментариями и обфусцированным кодом, запускает PowerShell через WMI (инструментарий управления Windows). Вместо прямой цепочки "JavaScript → PowerShell" злоумышленники используют вызов WbemScripting.SWbemLocator, подключение к пространству имён WMI и создание процесса Win32_Process.Create. Это позволяет обойти классические правила корреляции событий в SIEM-системах (классе продуктов для управления информационной безопасностью и корреляции данных), которые отслеживают родительско-дочерние связи процессов. Связка JavaScript → WMI → PowerShell выглядит менее подозрительной, чем прямой запуск PowerShell из скрипта.
Сгенерированный PowerShell-код сохраняется в папку %LOCALAPPDATA%\Tamale. Сам код загрязнён вставками слова "bubble", которые удаляются во время выполнения. На втором этапе PowerShell реконструирует строки, выбирая каждый четвёртый символ из мусорных строк, и использует функцию otidiform для декодирования Base64 с XOR-ключом "Identificational". Этот ключ одинаков для всех скриптов кампании. Таким образом злоумышленники извлекают команды для загрузки следующего полезного файла с удалённого сервера.
Третья стадия представляет собой PowerShell-загрузчик, который рефлексивно загружает .Net-сборку. При этом файл, полученный с сервера, имеет нестандартную структуру: большая часть данных (первые 143577 байт) является зашифрованным полезным грузом, а последние 20305 байт - это сам скрипт-загрузчик. После выделения кода через метод substring исполняется команда System.Reflection.Assembly.Load, которая загружает шеллкод. Этот шеллкод, в свою очередь, скачивает финальную вредоносную программу с того же сервера и внедряет её в процесс backgroundTaskHost.exe. Именно этот процесс устанавливает связь с командным сервером (C2) на адресе animal342[.]duckdns[.]org:53552.
Анализ сетевого трафика в песочнице показал, что украденные данные передаются на сервер управления Remcos - распространённого средства удалённого доступа. Remcos позволяет злоумышленникам полностью контролировать заражённую машину: записывать нажатия клавиш, делать скриншоты, похищать файлы и пароли, а также использовать компьютер в качестве точки входа в корпоративную сеть. Для закрепления в системе создаётся ключ автозагрузки в реестре HKCU\Software\Microsoft\Windows\CurrentVersion\Run, который при каждом запуске системы выполняет PowerShell-команду, скрытую в другом разделе реестра.
Стоит отметить, что большинство файлов, задействованных в этой цепочке заражения, на момент обнаружения оставались нераспознанными антивирусными продуктами. Сочетание редкого вектора с VHDX-образом, многослойной обфускации и использования WMI для запуска PowerShell делает кампанию особенно опасной для организаций, где пользователи могут открывать вложения из деловой переписки. Немецкоязычная тематика письма и имя файла "Partnerschaft_fur_neue_Angebotsanfrage" (партнёрство для нового запроса предложения) указывают на целевую аудиторию - сотрудников компаний в Германии, Австрии или Швейцарии.
Хотя возврат к старым методам сокрытия вредоносной нагрузки не является прорывным, он напоминает, что злоумышленники активно экспериментируют с комбинациями техник, чтобы избежать детектирования. Образы дисков всё ещё редко проверяются почтовыми шлюзами, а многоступенчатый PowerShell с использованием WMI обходит даже продвинутые решения класса EDR (класса продуктов для обнаружения и реагирования на конечных точках). Организациям стоит обратить внимание на правило, запрещающее автоматическое монтирование образов дисков из вложений, а также на мониторинг аномальных обращений к WMI из скриптовых сред. Однако главным барьером остаётся обучение пользователей: ни одна технология не защитит от того, кто самостоятельно откроет вложение и позволит запустить цепочку заражения.
Индикаторы компрометации
Domain Port Combinations
- animal342.duckdns.org:53552
URLs
- https://cembusconfort.ro/Exoticisms121.dsp
- https://cembusconfort.ro/YoHtJ27.bin
SHA256
- a0104921a2d37ab87482ac9a9f5c3713479c118846c3e999178e75b81620c094
- f65b1271deedcbcbcdd750047f8eb3a5548145546fc2b7847b263a5e52570b33