В мае 2026 года специалисты компании Zscaler обнаружили ранее неизвестное семейство вредоносного ПО, получившее название MLTBackdoor. Аналитики предполагают, что этот бэкдор используется группировками, связанными с программами-вымогателями (ransomware), для закрепления в сети жертвы и последующего бокового перемещения. Обнаружение произошло в ходе мониторинга цепочки заражения ClickFix, нацеленной на автомобильный сектор.
Описание
Цепочка атак начинается с поддельной веб-страницы, где жертву просят скопировать и выполнить вредоносную команду. Скрытая команда загружает зашифрованный архив, содержащий две библиотеки: data.bin и endpointdlp.dll. Вторая библиотека дешифрует первую с помощью потокового шифра RC4 и запускает сам бэкдор. Примечательно, что для маскировки используется легитимная подпись Microsoft Defender - файл mpextms.exe, который подгружает вредоносную DLL методом sideloading. Такой обход защиты позволяет скрыть присутствие вредоносного кода от систем обнаружения на основе сигнатур.
MLTBackdoor демонстрирует высокий уровень технологической сложности. Код почти полностью обфусцирован с помощью двух методов: смешанной булево-арифметической обфускации (Mixed Boolean-Arithmetic, MBA) и выравнивания потока управления (Control Flow Flattening, CFF). Оба метода реализованы на этапе компиляции с помощью LLVM-обфускатора. В результате около 95% кода представляют собой пустые математические операции, которые не влияют на логику, но чрезвычайно затрудняют статический анализ. Например, простая операция инкремента может быть развёрнута в десятки строк сложных выражений. Аналитикам Zscaler удалось упростить их только после замены побитового отрицания на эквивалентное арифметическое выражение.
Дополнительно бэкдор использует конструирование строк непосредственно на стеке в момент выполнения. Это означает, что строковые константы, включая адреса командных серверов (C2), не хранятся в открытом виде и не зашифрованы как единый блок. Они собираются по одному байту в разных функциях, что делает бесполезными автоматические инструменты для извлечения строк, такие как FLOSS. Восстановить их можно только трассируя переходы состояний внутри обфусцированной конечной автоматной машины.
Для вызова системных функций MLTBackdoor применяет технику косвенных системных вызовов в стиле Hell's Gate. Вместо обращения к стандартным WinAPI-функциям, которые могут быть перехвачены антивирусными продуктами, бэкдор самостоятельно находит адреса syscall-инструкций в библиотеке ntdll.dll и использует их напрямую. Таким образом он обходит хуки на уровне пользовательского режима. При запуске формируется таблица соответствия хешей DJB2 номерам системных вызовов и адресам переходов. Всё разрешение API (Win32, собственных функций и символов BOF) также происходит через хеши DJB2 во время выполнения, что скрывает имена вызываемых функций от статического анализа.
Особого внимания заслуживает механизм противодействия анализу. Бэкдор выполняет десять различных проверок, которые выявляют наличие отладчиков (проверка флага отладки через NtQueryInformationProcess), виртуальных машин (поиск характерных строк вроде VMware, VBox, Xen, KVM), песочниц (проверка драйверов vbox, vmci, virtio и других), а также замеряет время выполнения инструкций RDTSC для обнаружения эмуляции. Если объём оперативной памяти меньше 2 ГБ, количество процессоров равно единице или время работы системы с момента загрузки менее пяти минут - это также фиксируется. Однако выполнение не прекращается. Вместо этого результаты всех проверок упаковываются в 10-битную битовую маску, которая отправляется на C2-сервер в составе первого запроса при установке соединения. Злоумышленники могут использовать эту информацию для адаптации дальнейших команд, например, чтобы не запускать сложные нагрузки в заведомо аналитической среде.
Связь с командными серверами осуществляется по протоколу TLS на стандартном порту 443 с фиксированным путём /api/v1/telemetry и User-Agent "Microsoft-Delivery-Optimization/10.1", что имитирует легитимный трафик доставки обновлений Windows. После установки шифрованного канала выполняется обмен ключами по эллиптической кривой P-256 (ECDH). Сессионный ключ формируется на основе общего секрета и хешируется с помощью SHA256, после чего используется шифрование AES-256-GCM со случайным 12-байтовым nonce. Каждый пакет имеет заголовок с магическими байтами 0x014D4C54 (что соответствует ASCII-строке "MLT"), идентификатором сессии, типом сообщения и длиной полезной нагрузки.
Для обеспечения устойчивости к блокировке C2-серверов MLTBackdoor использует алгоритм генерации доменных имён (Domain Generation Algorithm, DGA). DGA детерминированно вычисляет домен на основе текущей даты, поэтому каждый день создаётся новый адрес. Если основные серверы недоступны, бэкдор переключается на сгенерированный DGA-домен. Интересно, что домен, сгенерированный на 29 апреля 2026 года (hrs2y15sungu[.]com), одновременно использовался и как точка распространения вредоносного архива в цепочке ClickFix, и как командный сервер. Это говорит о том, что злоумышленники активно интегрируют каналы доставки и управления.
Базовая функциональность MLTBackdoor включает команды для управления файловой системой: скачивание и загрузка файлов, вывод содержимого каталога, удаление, переименование, создание папок. Однако главная особенность - встроенный загрузчик Beacon Object Files (BOF). BOF - это скомпилированные объектные файлы формата COFF, которые могут быть загружены и выполнены в адресном пространстве вредоносного процесса, после чего освобождены. Такой подход был популяризирован платформой Cobalt Strike, и сегодня существует множество готовых BOF-модулей для выполнения различных задач - от сбора данных до эскалации привилегий. Загрузчик MLTBackdoor поддерживает стандартные импорты BOF (BeaconDataParse, BeaconPrintf и другие), а также 19 дополнительных функций, которые маршрутизируются через собственные обёртки косвенных системных вызовов бэкдора. Это позволяет выполнять BOF-модули без использования стандартных WinAPI и, соответственно, без триггеринга антивирусных срабатываний.
Таким образом, MLTBackdoor представляет собой зрелый фреймворк для постэксплуатационного доступа, сочетающий мощные механизмы обфускации, противостояния анализу и гибкость расширения через BOF. Несмотря на относительную новизну, уже сейчас можно говорить о его принадлежности к инструментарию профессиональных киберпреступных группировок, ориентированных на атаки с применением программ-вымогателей.
Индикаторы компрометации
Domains
- carrolc.com
- cwrtwright.com
- hrs2y15sungu.com
- thomphon.com
URLs
- powwowski.com/payloads/update.zip
SHA256
- 0ca2edf9982f58e63cc49ba69fb9a88762d1f220ed9482810b512d4add0f8f0b
- 0f7463aecc3920f9e2b32ab9d77861a9e69a3e8aa28d06b4602195623312331d
- 1d09357b6a096fdc35cd5c873eed15665d6b3c879d20c8cf01e6bca0005512cf
- 1e41c7bfaa6aa3b93b6cc024274a10e33f3e12fe7c98c1db387ef8927f9d1984
- 2cd88d5280a61714836f5f07a16df190911c5b952af2998dbbcda910b3b1c494
- 46b2155c1e71b840d4b7a2e94410b89a61e2446523e6f497206d402eb02e0e93
- 4c357a29b202b77e7db190d359ead2dfd3f8869c6808b96bfa8bee82525bb2a2
- 57cfa4cbf3d6cbd13973bbf0625bfa6d20677abb0a6e6bec9a6bf587799b56fa
- 6870e3bbf2447c96d21682caf943cf31c2e8c21c8cfb91a5092eab1c9e5f19ae
- 687968b820fd7a6bedb03d644410c663b1720ad76519e2dcf98d61df498470df
- 75635009a00cb26d2f532ad974ede59785a18e4b30132a1f585108589394ba5a
- 9c8384f93b9d347a716ea3e55b9a01250473f667b95d467126c048256b0049e9
- 9e52cc90cff150abe21f0a6440e86e0a99ff383b81061b96def8948e21d0ac66
- 9e8777661a1ad9c983f03060f0a04a3244daac8c3639b3eb1bbce29355bc6c10
- a5a5b6257304eefe5212edfd8c0ad27f77357c5046a7acb8eb7ba72ed4bad9e0
- ab0541672b57cd3b7e8c973fb9fcbecd18b7fe14c1c2f571e7a2f2921919b500
- ac66c2d47cdefb221822b9074c9810434e8da702a0694139aa9177557e6b292b
- b2e1f5aedb049092135e90c153f5bd386aa81cd2df355d90912dcba33c3176e5
- b32461077b2e04145b87e9b5177a331dfd2248b81570aa96b9a302dffe643f70
- ced6b0f44410f6133ad63b61e04613a8b56cc3338d7b34497540e9541163e7ec
- d34e4038c5c80728f9648ba84833f69bc1ccea82e2e8e748b7b7f02fb687b92b
- d51ce268a585657226510586e47c58a47cee2f2bf2049008760c58dc4e6ba650
- d8f291a459c1acc53f9c8dccb1049bfe2d3b00c7a86d50542dc7fd7b0628ea6a
- e063358d88290c5d05d58594da341690024cf7fa57408a3874899f10e56d8bc8
- ed80408eb9092301e628791e7a9a2e86c6f496a9afd7b56d7c1a1684b1b87251
- fc8649547ad0ece93ad82de75cb6b875be0873774de89b78546c9a66d2043087
- fe8557d454adc7a91162495628d269738b92b4b5d7e5d620fc3f38c27a9a41a7