Новый ботнет NightshadeC2 использует технику «UAC Prompt Bombing» для обхода средств защиты

Атака начинается с использования вектора начального доступа ClickFix, при котором жертвам показывается капча с инструкцией выполнить вредоносную команду в окне «Выполнить» Windows. Альтернативным методом распространения стали троянизированные версии легитимного программного обеспечения, включая Advanced IP Scanner, Express VPN, HyperSecure VPN, CCleaner и Everything.

После получения начального доступа запускается PowerShell-скрипт второго этапа, который загружает и расшифровывает загрузчик на базе .NET. Ключевым элементом атаки является использование техники «UAC Prompt Bombing». Загрузчик пытается добавить исключение для финальной полезной нагрузки в Защитнике Windows (Windows Defender), создавая новый процесс PowerShell. Если процесс возвращает код ошибки (не нулевой), что типично для песочниц с отключенной службой WinDefend, загрузчик бесконечно повторяет попытку, создавая цикл, который блокирует анализ.

На системах реальных пользователей повторяющиеся запросы UAC вынуждают жертву одобрить добавление исключения, чтобы восстановить нормальную работу компьютера. Таким образом, злоумышленники эффективно обходят как автоматизированные системы анализа, так и защитные механизмы Windows.

Финальная полезная нагрузка, NightshadeC2, демонстрирует обширный набор возможностей. Ботнет, существующий в вариантах на C и Python, обеспечивает обратную оболочку через Command Prompt или PowerShell, загрузку и выполнение файлов, удалённое управление, захват экрана, работу скрытых браузеров, кейлоггинг и перехват содержимого буфера обмена. Некоторые варианты также способны похищать пароли и cookies из браузеров на базе Gecko и Chromium.

Для обеспечения устойчивости загрузчик прописывает автозагрузку через три различных ключа реестра: Winlogon, RunOnce и Active Setup. Перед запуском основной нагрузки вредоносное ПО проверяет внешний IP-адрес жертвы через сервис ip-api[.]com, вероятно, чтобы избежать анализа в исследовательских средах. Коммуникация с командным центром (C2) осуществляется с использованием шифрования RC4.

Эксперты eSentire TRU отмечают, что простота техники обхода делает её крайне опасной. Они создали Proof of Concept (PoC), наглядно демонстрирующий уязвимость многих песочниц, включая Joe Sandbox, CAPEv2, Hatching Triage и Any.Run. Рекомендации для организаций включают повышение осведомлённости пользователей о подобных социально-инженерных атаках, аудит правил исключений в антивирусных продуктах и мониторинг необычной активности, связанной с процессами PowerShell.

Обнаружение NightshadeC2 подчёркивает необходимость комплексного подхода к безопасности, сочетающего технологические средства контроля с обучением пользователей, поскольку даже простые техники могут оказаться высокоэффективными против современных систем защиты.

IPv4

• 102.135.95.102
• 104.225.129.171
• 107.158.128.45
• 107.158.128.90
• 170.130.165.28
• 173.232.146.90
• 178.17.57.102
• 180.178.122.131
• 180.178.189.17
• 185.149.146.1
• 185.149.146.118
• 185.208.158.250
• 195.201.108.189
• 34.72.90.40
• 45.11.180.174
• 45.61.136.81
• 5.35.44.176
• 64.52.80.82
• 77.238.241.203
• 79.132.130.142
• 91.202.233.132
• 91.202.233.250
• 91.202.233.251
• 94.141.122.164

Domains

• bioomx.com
• boiksal.com
• bkkil.com
• biosefjk.com
• bioakw.com
• bikbal.com
• bilaskf.com
• bliokdf.com
• tdbfvgwe456yt.com
• programsbookss.com

URLs

• http://www.ip-api.com/line/?fields=147457
• http://www.ip-api.com/line/?fields=147505
• http://www.ip-api.com/line/?fields=16385

SHA256

• 04a1852aed5734d8aaf97730a7231272f103605a4f83ea8413abe6f8169aee4c
• 05a4f648099d0b35d6eb4662266b1046d4691bb8e739a4fd4e4e55e69774ef1f
• 05d2d06143d363c1e41546f14c1d99b082402460ba4e8598667614de996d2fbc
• 0c08b5f3c24841d5fe02ddebdcf4707a75c790916c3ad4c769108241ddf999e4
• 0e9d984f980ceffb846946a8926e1d69abf2d07a6b710b8f8c802026ba3bbdb4
• 0fd7eb57f5f9d817dd497c1ce3be0791f5e798077f8dc2c3a4e2b2b0b0bdc2c6
• 1178fa21928e5aac0f320e18bfb15603e00d3b8874719f4e74dd4f49db6dc5a8
• 1ff6ee23b4cd9ac90ee569067b9e649c76dafac234761706724ae0c1943e4a75
• 21497a0eb89f321f971b4346880b43b342df131c431788cff4685c5a5a71b53e
• 24934295a5824ef8ec8df1df9ee5bc719bb98e9b6b55b2cbbb02498782762cc5
• 26a5e18d6ac86a865250452528664d4cde74187d741fcf98370efb34d4219490
• 282fa3476294e2b57aa9a8ab4bc1cc00f334197298e4afb2aae812b77e755207
• 2fcb76dfdfcd390658bbc032faafef607804d5d4a2f1c0005f274ab2e06d8af4
• 375229df144b3fb0d0560d90b06aa7fe34825886069653a088fa4071476cf63e
• 39b40746de01af66c0e5ce5888df4c42e474adcdb4301275b1474423d7a0ff1f
• 3dd877835c04fde3f2d14ce96f23a1c00002fefa9d731e8c4ce3b656aac90063
• 420f13538c0c2620eba396e96afdf36430b2618d7d215e96c81444379ab8a7bc
• 53775af67e9df206ed3f9c0a3756dbbc4968a77b1df164e9baddb51e61ac82df
• 58d54e2454be3e4e9a8ea86a3f299a7a60529bc12d28394c5bdf8f858400ff7b
• 5a741df3e4a61b8632f62109a65afc0f297f4ed03cd7e208ffd2ea5e2badf318
• 6d62210addb8268d0bd3e6ef0400d54c84e550ccad49f5867fdc51edc0c1db2c
• 7ce399ae92c3e79a25e9013b2c81fe0add119bda0a65336d1e5c231654db01a5
• 85b4d29f2830a3be3a0f51fbe358bea1a35d2a8aaa6a24f5cc1f2e5d2769716e
• 8940944e4abc600b283703876def0403160a5109abdbcb9e97c488dc3cc59b94
• 94dc0f696a46f3c225b0aa741fbd3b8997a92126d66d7bc7c9dd8097af0de52a
• a2feb262a667de704e5e08a8a705c69bbcc806e0d52f0f8e3f081a6aa6c8d7b4
• c4fd98db8d8181d949ee4ff47991dda70f73b47c72104aa519150223dd8d3588
• cbee972115b129ed3ce366217321a6f431ab86d9bf61c90ef7d224f1004a672c
• ce2ad8b6d76ba03c96d9248ac3d22590801e00611244c1942875adf52c154971
• cf0c7e0f3c3ea60da7bfe779f09d32b441d5089c905a5d905253e2f4b2b202fd
• e77bc95772ae84e5ecf68c928059cab3e305f92b1518d0ec3f8a7eb6eb728503
• f2ff4cbcd6d015af20e4e858b0f216c077ec6d146d3b2e0cbe68b56b3db7a0be