Новое семейство шифровальщика Charon атакует Ближний Восток, используя продвинутые APT-методики

Charon демонстрирует изощренную цепочку атаки, начиная с техники DLL-подмены (sideloading). Злоумышленники используют легитимный исполняемый файл браузера Microsoft Edge ("Edge.exe") для загрузки вредоносной библиотеки "msedge.dll" (также известной как SWORDLDR). Эта методика позволяет обойти базовые системы безопасности, маскируя вредоносную активность под доверенный процесс. Вредоносная DLL, в свою очередь, расшифровывает и загружает в память скрытый шелл-код из файла "DumpStack.log". Именно этот шелл-код инициирует выполнение основного модуля шифровальщика Charon, фиксируемого исследователями впервые в реальных атаках.

Для дальнейшего повышения скрытности и противодействия системам обнаружения и реагирования на конечных точках (EDR), Charon использует инъекцию кода в системный процесс "svchost.exe". Запуская новый экземпляр этого стандартного процесса служб Windows, шифровальщик маскирует свою деятельность под обычную фоновую работу операционной системы. Дополнительные анти-EDR возможности обеспечиваются загружаемым драйвером, скомпилированным из исходного кода открытого проекта Dark-Kill, целью которого является отключение защитных решений безопасности на зараженной системе.

Перед началом шифрования данных Charon предпринимает серию деструктивных действий, направленных на максимальное усложнение восстановления. Он принудительно останавливает ключевые сервисы и процессы, связанные с безопасностью, удаляет все теневые копии Volume Shadow Copy Service (VSS), что лишает жертв возможности восстановить файлы из предыдущих точек сохранения, а также очищает Корзину для удаления следов недавно удаленных данных.

Сам процесс шифрования оптимизирован для скорости и масштаба. Charon создает множество параллельных потоков шифрования, количество которых соответствует числу ядер процессора целевого компьютера. Это позволяет ему быстро обрабатывать файлы на локальных дисках и в сетевых ресурсах. Все зашифрованные файлы получают расширение ".Charon".

Техническая сложность Charon особенно проявляется в используемой криптографической схеме. Шифровальщик применяет гибридный подход: генерирует 32-байтный случайный приватный ключ с использованием криптографических функций Windows, форматируя его для алгоритма эллиптической кривой Curve25519. Этот приватный ключ в сочетании с жестко закодированным в теле вредоноса публичным ключом создает общий секрет. Далее этот секрет обрабатывается через специальную хеш-функцию для инициализации модифицированного поточного шифра ChaCha20. Каждый зашифрованный файл содержит уникальный 72-байтный футер, включающий публичный ключ жертвы и метаданные, необходимые злоумышленникам для последующей расшифровки при условии получения приватного ключа.

Аналитики отмечают высокую степень целевого характера атак Charon. Шифровальщик поддерживает гибкие параметры командной строки, позволяя операторам указывать конкретные сетевые ресурсы, локальные пути или определять приоритеты шифрования. Подтверждением избирательности кампании служат персонализированные записки с требованиями выкупа, в которых явно упоминается название атакованной организации, что нехарактерно для широкомасштабных, "оппортунистических" кампаний вымогателей.

Исследователи Trend Micro обнаружили технические сходства между Charon и инструментарием известной APT-группы Earth Baxia, связанной с китайским происхождением и специализирующейся на атаках на правительственные структуры. Общими чертами являются использование техники DLL-подмены и доставка основного вредоносного кода в виде зашифрованного шелл-кода. Однако, несмотря на схожесть инструментов, отсутствие общих инфраструктурных элементов или единой картины целей не позволяет уверенно атрибутировать Charon группе Earth Baxia на текущий момент. Тем не менее, сам факт такого сходства подчеркивает растущую тенденцию, при которой криминальные группы, разрабатывающие шифровальщики, активно перенимают и внедряют сложные, ранее преимущественно APT-методики для повышения эффективности и скрытности своих атак.

Эксперты по кибербезопасности, включая аналитиков платформы PolySwarm, единодушно классифицируют Charon как формирующуюся и значительную угрозу. Его появление сигнализирует о новом уровне опасности, когда разрушительный потенциал ransomware сочетается со стелс-возможностями и изощренностью целевых атак, что требует от организаций, особенно в критически важных секторах, таких как госуправление и авиация, усиления многоуровневой защиты, мониторинга аномальной активности и обеспечения надежных процедур резервного копирования и восстановления данных.

MD5

• a1a0fd18382769745592226f1f652632

SHA1

• 21b233c0100948d3829740bd2d2d05dc35159ccb

SHA256