В постоянно эволюционирующем ландшафте киберугроз инструменты удалённого мониторинга и управления (RMM) остаются одним из излюбленных средств злоумышленников для получения первоначального доступа к системам. Однако в конце января 2024 года аналитики компании Proofpoint обнаружили необычный поворот: злоумышленник создал совершенно новое вредоносное ПО, замаскированное под легальный RMM-продукт под названием «TrustConnect Agent». Это не очередной случай злоупотребления существующим софтом, а полноценный сервис вредоносного ПО как услуги (MaaS), классифицируемый как троянец удалённого доступа (RAT).
Описание
Изначально TrustConnect выглядел как ещё один легитимный инструмент, используемый не по назначению. Однако расследование показало, что это новый коммерческий проект, созданный специально для киберпреступников. Домен trustconnectsoftware[.]com, зарегистрированный 12 января 2024 года, служит одновременно и витриной «бизнеса», и панелью управления командного центра (C2) для вредоноса, и порталом для регистрации злоумышленников. Создатели, вероятно, использовали языковые модели (LLM) для генерации убедительного, но фальшивого контента сайта, включая статистику клиентов и документацию.
Особую тревогу вызывает тот факт, что злоумышленникам удалось получить для этого домена расширенный сертификат валидации (EV). Такой сертификат, выданный на имя фиктивной компании «TrustConnect Software PTY LTD», стоит тысячи долларов и предполагает дополнительную проверку со стороны удостоверяющего центра. Его наличие должно сигнализировать о надёжности ресурса, но в данном случае он использовался для подписи вредоносных файлов, что помогало обходить сигнатурные средства защиты. В сотрудничестве с исследователями The Cert Graveyard, Proofpoint удалось добиться отзыва этого сертификата 6 февраля 2024 года, однако, поскольку отзыв не имел обратной силы, ранее подписанные файлы оставались валидными.
Кампании по распространению TrustConnect начались 27 января, что совпало с датой начала подписи ПО. Злоумышленники использовали разнообразные приманки: приглашения на тендеры и мероприятия, уведомления о налогах, общих документах или встречах, часто на английском и французском языках. Сообщения, отправляемые со скомпрометированных адресов, содержали URL-ссылки на исполняемые файлы, например, «MsTeams.exe». При запуске такой файл сбрасывал на диск «TrustConnectAgent.exe», который устанавливал троянца и выходил на связь с C2-сервером.
Примечательно, что в рассмотренных кампаниях TrustConnect распространялся параллельно с легитимными, но злоупотребляемыми RMM-инструментами, такими как ScreenConnect или LogMeIn Resolve. Более того, сам TrustConnect часто использовался как первоначальный вектор для последующей установки этих же легальных средств удалённого доступа. Это указывает на глубокую интеграцию данного MaaS в общую экосистему злоумышленников, эксплуатирующих RMM, и предполагает, что поставщик услуги продаёт её тем же клиентам, которые используют в своих атаках реальные инструменты.
С технической точки зрения, сервис предлагает киберпреступникам полнофункциональную веб-панель управления за $300 в месяц, оплачиваемые криптовалютой. После регистрации по email и верификации через одноразовый пароль (OTP) пользователь получает доступ к дашборду (панели управления). Функционал включает управление заражёнными устройствами, выполнение предопределённых и произвольных команд, передачу файлов, просмотр системной информации и удалённый рабочий стол (RDP) с возможностью обхода контроля учётных записей (UAC) и скрытия активности оператора.
Особенностью сервиса является генерация «брендированных» установщиков, маскирующихся под популярное ПО: Zoom, Microsoft Teams, Adobe Reader, Google Meet, а также под документы правительственных и финансовых учреждений. Каждый такой исполняемый файл, размером около 35 МБ, содержит метаданные имитируемого бренда и предварительно сконфигурирован с установочным токеном атакующего, что позволяет связать жертву с конкретным оператором в панели управления. При этом панель ведёт детальный журнал аудита всех действий, который, судя по всему, нельзя отключить или очистить, что потенциально оставляет следы для расследований.
Внутренняя административная панель, доступная создателям сервиса, позволяет управлять клиентами и видеть все онлайн-устройства жертв, которые в интерфейсе прямо обозначены как «Victims» («Жертвы»). Инфраструктура вредоноса, размещённая на IP-адресе 178[.]128[.]69[.]245, была выведена из строя в результате скоординированных усилий по устранению угрозы 17 февраля 2024 года. Однако, демонстрируя устойчивость, злоумышленник вскоре переключился на параллельную инфраструктуру и начал тестирование новой полезной нагрузки под названием «DocConnect».
На основании артефактов, включая Telegram-контакт для поддержки (@zacchyy09), который также фигурировал в материалах полицейской операции против информационных похитителей Redline и META, аналитики Proofpoint с умеренной уверенностью полагают, что создатель TrustConnect, вероятно, ранее был заметным пользователем Redline Stealer.
Появление TrustConnect иллюстрирует несколько важных тенденций.
- Успешные операции против MaaS-сервисов создают вакуум на чёрном рынке, который быстро заполняется новыми предложениями.
- Экосистема злоупотребления RMM-инструментами продолжает процветать и развиваться, включая теперь и полностью поддельные продукты.
- Артефакты кода и функциональность указывают на активное использование создателями генеративного ИИ для разработки и оформления, что значительно ускоряет эволюцию угроз и снижает порог входа для менее квалифицированных преступников.
Для специалистов по безопасности данный случай служит напоминанием о необходимости многослойной защиты. Акцент должен смещаться с исключительно сигнатурного анализа на поведенческие методы обнаружения, мониторинг сетевой активности на предмет аномальных соединений с неизвестными доменами и строгое управление привилегиями внутри сети. Особое внимание следует уделять проверке цифровых подписей, не ограничиваясь фактом их наличия, и обучать пользователей распознаванию социальной инженерии, даже в профессионально выглядящих сообщениях.
Индикаторы компрометации
IPv4
- 178.128.69.245
Domains
- adobe.caladzy.com
- ametax.net
- elev8souvenirs.com
- networkservice.cyou
- statementstview.online
- trustconnectsoftware.com
- vurul.click
- worldwide-www19.pages.dev
URLs
- http://192.159.99.83/Bin/ScreenConnect.ClientSetup.msi?e=Access&y=Guest
- http://192.227.211.41:8040/Bin/ScreenConnect.ClientSetup.msi?e=Access&y=Guest
- https://aerobickarlaurbanovas.top/Bin/ScreenConnect.ClientSetup.msi?e=Access&y=Guest=
- https://memphiswawu.com/Bin/ScreenConnect.ClientSetup.msi?e=Access&y=Guest
- https://smallmartdirectintense.com/Bin/ScreenConnect.ClientSetup.msi?e=Access&y=Guest=
- https://stewise.top/Bin/ScreenConnect.ClientSetup.msi?e=Access&y=Guest
SHA256
- 162c0d3e671ddf4f7f3ae5681da5272111eab6588bc53843cc604fc386634594
- cee6895f7df01da489c10bf5b83770ceede79ed4e1c8c4f8ea9787a4d035c79b
- cf85a4816715b8fa6c1eb5b50d1c70cfef116522742f6f1c77cb8689166b9f40
