Аналитики компании G Data обнаружили новую кампанию по распространению печально известного удалённого трояна Remcos RAT, которая отличается необычной многослойной архитектурой загрузчика. Исследователи выявили, что злоумышленники существенно модернизировали свои методы, добавив в цепочку заражения shellcode от инструмента DonutLoader и скрипты на языке AutoIt. Эти изменения говорят о том, что авторы вредоносного кода стремятся сделать его максимально незаметным для систем защиты и избежать обнаружения на ранних этапах.
Описание
Начало атаки выглядит классически: жертве приходит фишинговое письмо, к которому прикреплён зловредный пакетный файл Windows с названием Bestellung.CMD. С немецкого это слово переводится как "заказ", и такие имена традиционно используются в подобных кампаниях, чтобы усыпить бдительность получателя. Когда пользователь запускает этот файл, начинается цепь событий, каждое звено которой призвано скрыть конечную цель.
После запуска командный файл обращается к утилите cscript.exe - это легитимный компонент Windows Script Host, который киберпреступники постоянно используют в своих целях. По сути, этот системный инструмент становится посредником для выполнения вредоносного кода. Далее происходит обращение к файлу SyncAppvPublishingServer.vbs, который входит в состав компонента Microsoft App-V и присутствует во многих корпоративных версиях Windows. Этот скрипт обычно воспринимается системами безопасности как доверенный элемент инфраструктуры. Такой подход, когда атакующие используют штатные средства операционной системы, известен как техника LOLBins (Living-off-the-Land Binaries - использование встроенных двоичных файлов для скрытой активности).
Принципиально важно, что применение SyncAppvPublishingServer.vbs в кампаниях Remcos RAT ранее не фиксировалось. Именно эта находка привлекла особое внимание экспертов G Data. Вредоносный скрипт передаёт закодированную строку Base64, которая после декодирования запускается через PowerShell. Причём в процессе происходит простая, но эффективная маскировка: строки содержат вставки мусора, которые удаляются через замену символов перед расшифровкой. PowerShell активируется в скрытом неинтерактивном режиме, что характерно для работы без участия пользователя.
Когда команда PowerShell выполняется, она изменяет путь поиска модулей и загружает легитимный модуль AppvClient - это ещё один элемент виртуализации приложений, который призван сделать действия скрипта безобидными на первый взгляд. На самом деле расшифрованный код содержит указания на загрузку дополнительных компонентов. Следующий этап предполагает скачивание из облачного хранилища pCloud трёх файлов: штатных компонентов архиватора 7Zip (7z.exe и 7z.dll) и защищённого паролем ZIP-архива под именем iphdcrtj.zip. Такой подход преследует две цели. Первая - гарантировать, что заражение пройдёт в любых версиях Windows, не полагаясь на установленный в системе софт. Вторая - пароль на архиве замедляет проверку статическими антивирусными движками и мешает серверам файловых хостингов обнаруживать угрозы.
Внутри архива находится зловредный скрипт JScript с тем же названием iphdcrtj.js. Он тоже сильно запутан и содержит множество пустых строк, мешающих анализу. При запуске этот скрипт раскладывает в систему два объекта: интерпретатор языка AutoIt версии 3.3.16.1 и поддельный файл с расширением PNG. На самом деле внутри изображения скрыт другой скрипт AutoIt, который содержит зашифрованные строки и описание API-функций Windows. Процедура расшифровки использует простую операцию XOR с однобайтовым ключом 0x63. После извлечения данные содержат структуры и вызовы функций, типичные для внедрения кода в процессы. Именно этим и занимается вредоносная программа: она внедряет код в процесс colorcpl.exe - легитимную утилиту управления цветами Windows.
На финальном этапе в память процесса попадает shellcode, сгенерированный с помощью открытого инструмента DonutLoader. Этот инструмент давно используется в различных кампаниях, в том числе при распространении других троянов и программ-шпионов. После дешифровки payload (полезной нагрузки) исследователи обнаружили, что внедрённый код принадлежит Remcos RAT версии 7.2.1 Pro, которая является относительно свежей. Сам троян после установки связывается с управляющим сервером злоумышленников и предоставляет полный контроль над заражённым компьютером: удалённое выполнение команд, кражу паролей, перехват нажатий клавиш, запись видео с веб-камеры и звука с микрофона, а также установку дополнительного вредоносного ПО.
Обобщая результаты, можно сказать, что эта кампания демонстрирует эволюцию методов распространения Remcos RAT. Переход от managed-среды .NET к более гибкому загрузчику shellcode указывает на стремление авторов сделать угрозу независимой от версии платформы и менее заметной для систем защиты памяти. Вместе с тем включение дополнительных этапов декодирования и внедрения в процессы даёт защитникам больше шансов своевременно обнаружить атаку до того, как вредонос выполнит свою главную задачу. Для специалистов по информационной безопасности это исследование - важное напоминание о том, что даже старые трояны обретают вторую жизнь благодаря новым техникам обхода защиты.
Индикаторы компрометации
SHA256
- 14a0d7978872a2739ac31ef42539e8c708af6afccc5eb74f22fe2b676bfa2df7
- 48bd36c3b8d6a3bf5db4e7b0bbc1692e8cb900475dc7ae16e9f1fa7ba97c8adf
- 5b3089eefab0e043af8894de86022bdc6df2f42f7098dbd530f42c0ec861d5d8
- b9da295c34accf3632c2c4b6d9e3c74791b4514d27814f79e9bcb77ce168a347
