В сфере угроз информационной безопасности наблюдается устойчивый тренд на усложнение инструментария, который становится более комплексным и ориентированным на операционную безопасность (OPSEC). Недавнее исследование специалистов Censys ARC выявило ранее не документированный набор средств удалённого доступа, получивший условное название "CTRL". Этот инструмент сочетает в себе функции фишинга учетных данных, кейлоггинга, захвата сессий удалённого рабочего стола (RDP) и организации обратных туннелей через FRP - всё это поставляется в рамках единой цепочки эксплуатации, инициируемой одним вредоносным файлом ярлыка (LNK). Особенность находки в том, что ни сами исполняемые файлы, ни связанная с ними инфраструктура до сих пор не фигурировали в публичных базах угроз, что указывает на приватный характер разработки.
Описание
Комплекс CTRL был обнаружен через открытый каталог на сервере 146.19.213[.]155 в феврале 2026 года. Отправной точкой послужил файл ярлыка "Private Key #kfxm7p9q_yek.lnk", который использовал иконку папки для маскировки и содержал в своих аргументах командной строки всю цепочку запуска вредоносного кода на PowerShell. Этот LNK-файл ссылался на домен "hui228[.]ru" для загрузки основных компонентов. Инфраструктура управления, включающая FRP-сервер на порту 7000 и веб-сервер для раздачи полезных нагрузок на порту 82, на момент анализа была активна и размещалась на недавно зарегистрированной автономной системе (ASN) Partner Hosting LTD во Франкфурте. Исследователи Censys ARC в отчёте отметили, что данный SSH-сервер остаётся уязвимым к нескольким известным проблемам, включая CVE-2024-6387 (RegreSSHion), что говорит о недостаточном внимании оператора к базовой безопасности собственной инфраструктуры.
Техническая сложность CTRL заключается в его многослойной архитектуре и уклонении от обнаружения. Атака развивается в шесть этапов, где каждый последующий этап расшифровывается или распаковывается предыдущим. Исходный LNK-файл запускает многослойный PowerShell-скрипт, который, минуя запись на диск, размещает основной загрузчик (стейджер) прямо в реестре Windows, в разделе "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellStateVersion1". Этот стейджер, написанный на .NET, отвечает за развертывание всего комплекса на целевой системе. Его функционал впечатляет: он проверяет уровень целостности процесса, при необходимости выполняет обход контроля учётных записей (UAC) через легитимный системный бинарник "fodhelper.exe", загружает основные модули с удалённого сервера, настраивает обратное туннелирование через FRP, создаёт правила брандмауэра, добавляет скрытую учётную запись с правами администратора и настраивает несколько заданий планировщика задач для обеспечения устойчивости (persistence).
Ядром комплекса является приложение "ctrl.exe", выступающее в роли агента управления. Оно использует шифрование AES-256-CBC для защиты встроенной полезной нагрузки и функционирует в двух режимах - серверном и клиентском, общаясь через именованный канал Windows "ctrlPipe". Это решение позволяет оператору, уже получившему доступ к системе через RDP-туннель, взаимодействовать с агентом локально, не создавая дополнительного сетевого трафика, который мог бы быть обнаружен системами сетевого мониторинга. Команды включают сбор системной информации, запуск фишингового окна, захват активной сессии пользователя, копирование файлов через теневые копии тома (VSS) и даже подделку уведомлений браузеров для выманивания дополнительных учётных данных.
Одной из наиболее изощрённых возможностей CTRL является модуль кражи учетных данных "StealUser". Он представляет собой полноценное WPF-приложение, с высокой точностью имитирующее интерфейс запроса PIN-кода Windows Hello. Приложение автоматически подгружает реальное имя пользователя и его фотографию профиля, определяет тему оформления системы (тёмную или светлую) и блокирует стандартные комбинации клавиш для переключения между окнами. Однако ключевая особенность не в реалистичности интерфейса, а в механизме валидации. Введённый пользователем PIN-код автоматически проверяется через настоящий системный диалог Windows с помощью UI Automation. Таким образом, злоумышленник не просто собирает введённые данные, а сразу получает подтверждение, что учётные данные рабочие.
С точки зрения обороны, комплекс CTRL демонстрирует, как современные угрозы смещаются в сторону минимизации сетевых артефактов. Весь удалённый доступ здесь реализован через обратные FRP-туннели к стандартному RDP, что делает трафик визуально легитимным и менее заметным для систем обнаружения вторжений (IDS). Отсутствие бинарников в публичных репозиториях усложняет сигнатурный анализ. Поэтому защита должна фокусироваться на поведенческих аномалиях: мониторинг необычных записей двоичных данных в ключи реестра, связанные с проводником, создание специфических заданий планировщика (например, "DriverSvcTask", "WindowsHealthMonitor"), модификации системного файла "termsrv.dll", добавление скрытых пользователей в группу "Удалённый рабочий стол" и появление именованного канала "ctrlPipe". Обнаружение подобных артефактов может стать индикатором компрометации даже самым незаметным инструментом.
Индикаторы компрометации
IPv4
- 109.107.168.18
- 194.33.61.36
