Новый бэкдор BLUERABBIT нацелен на израильские организации: скрытое управление через RabbitMQ, шифрование и необратимое уничтожение дисков

information security

В конце марта 2026 года специалисты Google Threat Intelligence Group (GTIG) зафиксировали активность ранее неизвестного бэкдора (вредоносной программы для удалённого доступа), получившего название BLUERABBIT. Этот инструмент, написанный на языке Go, представляет собой полнофункциональное средство для скрытого проникновения, шпионажа и последующего уничтожения данных. По данным аналитиков, вредоносная программа с высокой вероятностью связана с иранской кибергруппировкой, которая ранее уже применяла схожие средства BLUEWIPE и SEWERGOO. Главная цель атак - израильские организации, хотя точный список жертв пока не раскрыт.

Описание

BLUERABBIT кардинально отличается от типичных вредоносов. Вместо привычных HTTP-запросов для связи с командным сервером он использует комбинацию трёх протоколов, характерных для корпоративной инфраструктуры. Канал для получения команд строится на RabbitMQ (система очередей сообщений, работающая по протоколу AMQP). Промежуточные результаты и статус задач записываются в Redis (хранилище данных типа "ключ-значение"). А для кражи больших объёмов файлов применяется MinIO - S3-совместимое облачное хранилище, развёрнутое злоумышленниками. Такое архитектурное решение позволяет вредоносу маскироваться под обычный служебный трафик, что серьёзно затрудняет его обнаружение.

После запуска BLUERABBIT проверяет ключ реестра HKCU\Software\OneDrive\Environment. Если он отсутствует, программа считает, что работает впервые, и сразу закрепляется в системе. Для этого создаётся запланированная задача с именем "OneDrive Update", маскирующаяся под легитимный компонент Microsoft. Задача запускается каждые 60 секунд, а также при старте системы, и имеет автоматическое восстановление после сбоя. Из-за этого простое завершение процесса не помогает - необходимо удалить саму задачу, чтобы разорвать закрепление.

Затем вредонос устанавливает связь с RabbitMQ и объявляет очередь, названную в честь имени скомпрометированного устройства. Сервер управления отправляет в эту очередь числовые идентификаторы задач, каждый из которых соответствует одному из встроенных модулей. Отчёт Binary Defense детально описывает более десятка таких модулей, покрывающих полный спектр действий: удалённое управление рабочим столом через VNC, выполнение команд оболочки, сбор сведений о системе, сетевых настройках, установленном ПО, продуктах безопасности, статусе BitLocker и установленных драйверах.

Особую опасность представляют модули, отвечающие за кражу и уничтожение данных. BLUERABBIT собирает файлы во временных каталогах, имена которых генерируются по GUID-образной схеме, но с использованием всех букв латинского алфавита, а не только шестнадцатеричных символов. Это значимый сигнал для обнаружения - настоящие GUID в Windows строго шестнадцатеричные, поэтому появление символов от G до Z в GUID-подобных именах - аномалия. Подготовленные файлы затем отправляются в облачное хранилище MinIO, контролируемое атакующими.

Далее следует либо шифрование, либо полное уничтожение дисков. При шифровании расширение всех затронутых файлов меняется на .candy. Кроме того, вредонос заменяет обои рабочего стола на изображение, сгенерированное нейросетью, с надписью "High Alert". Но куда более разрушительны два модуля очистки дисков. Первый однократно перезаписывает все разделы случайными данными. Второй выполняет многопроходное уничтожение: сначала нули, затем случайные данные, потом последовательность 0xFF. Такая процедура делает восстановление информации невозможным ни одним из существующих методов.

Перед запуском деструктивных операций BLUERABBIT отключает механизмы восстановления системы. Он с помощью утилит takeown и icacls берёт на себя права владения критическими загрузочными файлами: bootmgr, ntoskrnl.exe и winload. Затем изменяет несколько ключей реестра, чтобы запретить автоматическую перезагрузку при сбое, отключить плановое обслуживание и выключить принудительную перезагрузку по расписанию Windows Update. Система становится неспособной самостоятельно восстановиться или прервать процесс уничтожения.

Комбинация кражи файлов и их шифрования указывает на модель двойного вымогательства: данные уже покинули сеть ещё до того, как жертва вообще узнала о вторжении. Даже если пострадавший решит заплатить выкуп, нет никаких гарантий, что украденная информация не будет опубликована или продана. При этом многопроходное стирание дисков с отключением восстановления делает неработоспособными не только зашифрованные данные, но и саму операционную систему.

Для специалистов по защите информации вредонос оставляет несколько зацепок. Прежде всего, появление GUID-каталогов с нешестнадцатеричными символами - надёжный признак активности BLUERABBIT. Запланированная задача "OneDrive Update" с немедленным стартом и периодичностью 60 секунд также выглядит подозрительно в корпоративной среде. Кроме того, любой исходящий AMQP-трафик с рабочих станций, не входящих в пул RabbitMQ, заслуживает внимания. Следы работы утилиты MinIO (mc) из нестандартных родительских процессов - ещё один индикатор. Наконец, попытки изменить права на загрузочные файлы вне сценариев обновления ОС должны немедленно вызывать тревогу.

Хотя отчёт GTIG не указывает, сколько именно организаций пострадало от BLUERABBIT, сам факт появления такого инструмента говорит о растущей сложности атак с участием государств. Злоумышленники всё чаще отказываются от шаблонных решений в пользу многослойных систем, имитирующих легитимный корпоративный трафик. Для защиты компаниям необходимо выстраивать мониторинг не только на границе сети, но и внутри периметра, обращая внимание на аномальное поведение служб и подозрительные изменения реестра. В текущей ситуации проактивное обнаружение остаётся единственным шансом избежать необратимых последствий.

Индикаторы компрометации

IPv4

  • 185.182.193.21
  • 212.8.248.104

SHA256

  • 633d4cbd496b1094495da89a64f5e6c31a0f6d4d1488411db5b0cba1cfe42001
  • 9706a192e2c1a1faaf0a521daf31c2af60ff4590e3f47bbb4abc227f42af0683
  • ce9ad5f6c12019f4aae5b189bd8ddf5bb09e75b06a0a587b25a855c65948c913
  • f622ed85ef31ad4ab973f4e74524866fe1bb44f0965ad2b2ad796cd657a05bfd

JA3

  • 806dab5164cf60d94026b88ab2d9851d
  • d80125b9429e9d5f06ace959f00de8d0

JA3S

  • d75f9129bb5d05492a65ff78e081bcb2

JA4

  • t13i131000_f57a46bbacb6_e5728521abd4
  • t13i130900_f57a46bbacb6_e7c285222651

Комментарии: 0