Новая вредоносная программа JS.MonoGlyphRAT маскируется под счета и предложения, большинство антивирусов её не распознают

information security

Специалисты компании ANY.RUN обнаружили новую вредоносную программу, которая уже активно используется для атак на бизнес. Бэкдор, получивший название JS.MonoGlyphRAT, проникает в корпоративные сети через фишинговые электронные письма. Злоумышленники маскируют вредоносный файл под обычный документ - заказ на закупку, коммерческое предложение или запрос котировок. Как только сотрудник открывает такой файл, атакующий получает скрытый и постоянный доступ к системе компании.

Описание

Эта угроза представляет собой полноценную программу удалённого управления с функциями загрузчика. После проникновения она способна доставлять дополнительные вредоносные компоненты, включая программы‑вымогатели. При этом бэкдор остаётся незамеченным для большинства традиционных сигнатурных антивирусов. По данным открытых источников, образцы JS.MonoGlyphRAT на площадках VirusTotal и ThreatFox помечены просто как "неизвестная вредоносная программа". Это означает, что стандартные средства защиты практически бесполезны против неё.

Основной вектор атаки - социальная инженерия. Атакующие рассылают письма с вложенными файлами с расширением .js. В названиях фигурируют типичные для деловой переписки строки: "PURCHASE ORDER_12258.js", "QUOTE_B2026.js", "QUOTATION2026115.js". Такие письма нацелены прежде всего на сотрудников отделов закупок, продаж и финансов. Один клик - и бэкдор уже работает в системе.

Как сообщили исследователи ANY.RUN, атаки затронули компании в технологическом секторе, среди провайдеров управляемых услуг (MSSP), в телекоммуникационной отрасли и сфере образования. Больше всего жертв приходится на США, однако инциденты зафиксированы также в Германии, Швеции, Австралии, Коста‑Рике, Греции, Польше и Турции. География продолжает расширяться, что подтверждает масштаб кампании.

Бэкдор написан на языке JavaScript и выполняется с помощью сценариев Windows (wscript.exe). Его отличительная черта - метод обфускации, который ANY.RUN назвал "моноглифным". Имена переменных и функций в коде состоят из повторяющихся букв в разном регистре, например IiIiIiIiiIII, KkkKKKkKkK. Это сильно затрудняет статический анализ и позволяет вредоносной программе дольше оставаться необнаруженной.

После попадания на компьютер бэкдор копирует себя в поддиректорию профиля пользователя и прописывается в автозагрузку через ветку реестра HKCU\…\Run. Таким образом он закрепляется в системе. Далее он собирает базовую информацию о хосте: домен, имя пользователя, серийный номер оборудования, версию операционной системы. Эти данные отправляются на сервер управления в формате HTTP POST.

Связь с командным центром происходит через HTTP. Управляющие команды передаются в заголовках ответа X‑S (идентификатор сессии) и X‑A (код команды). Поддерживаются следующие действия: обновление клиента, удаление с хоста, завершение процесса, перезапуск, загрузка и выполнение файла, выполнение произвольной команды PowerShell, загрузка и выполнение в памяти .NET‑сборки, а также сбор расширенной телеметрии. Особую опасность представляет команда на выполнение .NET‑кода в памяти: она включает обход AMSI (интерфейса защиты Windows) и рефлексивную загрузку сборки. Это позволяет скрытно запускать программы-вымогатели, похитители данных или другие модули без записи на диск.

Финансовые последствия успешной атаки могут быть катастрофическими для бизнеса. Злоумышленники могут развернуть программы-вымогатели, требующие выкуп в миллионы долларов. Они способны похитить конфиденциальные данные клиентов, финансовую информацию и интеллектуальную собственность. Это влечёт штрафы по нормам GDPR, HIPAA или требованиям SEC. Скомпрометированный компьютер может стать шлюзом для компрометации бизнес‑почты и мошеннических переводов средств. Для провайдера управляемых услуг одна атака способна парализовать работу десятков клиентов. Средняя стоимость утечки в США в 2024 году превысила 9,4 миллиона долларов, а репутационный ущерб зачастую приводит к потере контрактов.

Поскольку бэкдор пока не атрибутирован ни одной известной группировке и числится как неизвестная угроза, защититься от него можно только с помощью поведенческого анализа и динамической проверки в песочнице. Сигнатуры здесь бессильны. Специалистам следует обращать внимание на подозрительную активность процесса wscript.exe, запуск PowerShell из пользовательских директорий, запись в реестр по пути HKCU\…\Run с указанием на .js‑файл, а также HTTP‑запросы на нестандартные порты с параметрами ia=, df=, ex=, sb=, vc= и заголовками ответа X‑S и X‑A.

ANY.RUN уже включил в свою интерактивную песочницу и сервис аналитики угроз все необходимые правила для выявления JS.MonoGlyphRAT. Организации могут проанализировать подозрительные .js‑файлы до того, как они попадут на конечные машины. Своевременное обнаружение на стадии первичного заражения позволяет предотвратить развитие атаки, избежать дорогостоящих инцидентов и сохранить репутацию компании.

Индикаторы компрометации

IPv4

  • 158.94.211.76
  • 91.92.243.79

Domains

  • aryamint.com
  • scan.aryamint.com

URLs

  • http://158.94.211.76:34567/ceoznp

Комментарии: 0