Исследователи кибербезопасности компании Trend Micro обнаружили новое семейство вредоносного ПО под названием Charon, использующее продвинутые техники, характерные для APT-групп (Advanced Persistent Threat). Атаки направлены на корпоративный сектор с кастомизированными требованиями выкупа, что указывает на тщательное планирование операций. Наиболее тревожным аспектом является техническое сходство с методами группы Earth Baxia, известной таргетированием государственных структур.
Описание
Целевой характер атак
Кампания зафиксирована в странах Ближнего Востока, где жертвами стали организации публичного сектора и авиационной отрасли. Анализ показал, что злоумышленники применяли технику DLL sideloading, идентичную документально подтверждённым операциям Earth Baxia. В частности, использовался легитимный файл Edge.exe (первоначально названный cookie_exporter.exe) для подгрузки вредоносной библиотеки msedge.dll, известной как SWORDLDR. Этот компонент, в свою очередь, дешифровал и запускал основной payload Charon.
"Кастомизированная записка с выкупом, содержащая название организации-жертвы, исключает версию о случайном заражении", - отмечают исследователи. Техническое сходство с Earth Baxia проявляется в уникальной цепочке инструментов: использование одинаковых бинарных файлов с DLL для доставки зашифрованного shellcode. Однако однозначная атрибуция группе пока невозможна - совпадения могут указывать как на прямое участие, так и на сознательное копирование тактик.
Многоступенчатая доставка
Ключевым элементом атаки стал файл DumpStack.log, отсутствовавший в первоначальных данных телеметрии. Криминалистический анализ выявил, что он содержал зашифрованный shellcode. После дешифровки первого слоя исследователи обнаружили промежуточный payload с конфигурационными данными, включая указание на инъекцию в процесс svchost.exe. Второй слой шифрования скрывал исполняемый PE-файл, идентифицированный как Charon.
Этот механизм позволяет вредоносному коду маскироваться под легитимную службу Windows, обходя системы защиты конечных точек. Инъекция в svchost.exe обеспечивает стелс-режим работы, что характерно для APT, но редко встречается в традиционных ransomware.
Технические особенности Charon
После инициализации ransomware выполняет серию деструктивных действий:
- Останавливает сервисы безопасности и завершает связанные процессы
- Удаляет теневые копии (Volume Shadow Copies)
- Очищает корзину (Recycle Bin)
- Создает мьютекс "OopsCharonHere" для контроля множественных инстансов
Шифрование реализовано через гибридную схему: Curve25519 для генерации ключей и модифицированный алгоритм ChaCha20 для кодирования данных. Применяется частичное шифрование в зависимости от размера файла:
- До 64 KB - полностью
- 64 KB-5 MB - три блока (начало, середина, конец)
- 5-20 MB - пять равномерно распределённых блоков
- Свыше 20 MB - семь блоков в стратегических позициях
Зашифрованные файлы получают расширение .Charon и маркер "hCharon is enter to the urworld!". При этом ransomware игнорирует системные файлы (.exe, .dll), собственное расширение и текстовый файл с инструкциями по восстановлению.
Сетевое распространение и скрытые возможности
Charon демонстрирует функции горизонтального перемещения, сканируя сетевые ресурсы через NetShareEnum и WNetEnumResource. Он шифрует доступные сетевые диски и UNC-пути, намеренно пропуская административные ресурсы (ADMIN$) для снижения заметности.
Примечательно обнаружение в коде драйвера WWC.sys, скомпилированного из публичного проекта Dark-Kill. Этот компонент предназначен для отключения EDR-систем, однако в текущей версии он остаётся неактивным. "Его наличие указывает на разработку усовершенствованных анти-защитных механизмов для будущих версий", - комментируют аналитики.
Бизнес-риски и защита
Конвергенция APT-тактик и ransomware создаёт повышенную угрозу: методы уклонения от обнаружения сочетаются с немедленным операционным ущербом. Для организаций это означает риски длительных простоев, безвозвратной потери данных и финансовых потерь, связанных с восстановлением инфраструктуры.
Trend Micro подтверждает, что её платформа Vision One способна обнаруживать и блокировать известные индикаторы компрометации (IOC), связанные с Charon. Компания предоставила заказчикам специализированные hunting-запросы и отчёты для проактивной защиты. Эксперты рекомендуют усилить мониторинг аномалий в процессах svchost.exe и нестандартного использования Edge.exe, а также регулярно обновлять списки IOC.
Данный случай иллюстрирует тревожный тренд: группы, стоящие за ransomware, активно перенимают инструментарий APT, что требует пересмотра традиционных моделей киберзащиты. Техническое заимствование между разными классами угроз стирает границы между целевыми атаками и массовыми кампаниями, повышая ставки для корпоративной безопасности.
Индикаторы компрометации
SHA1
- 21b233c0100948d3829740bd2d2d05dc35159ccb
- 92750eb5990cdcda768c7cb7b654ab54651c058a
- a1c6090674f3778ea207b14b1b55be487ce1a2ab
