Специалисты по информационной безопасности столкнулись с новой сложной вредоносной кампанией, демонстрирующей растущую изощренность киберпреступников. Злоумышленники применяют многоступенчатую атаку, кульминацией которой становится внедрение полнофункционального трояна удаленного доступа (RAT, Remote Access Trojan). Ключевой особенностью атаки является оригинальный механизм скрытой передачи похищенной информации, который позволяет полностью обойти системы обнаружения утечек данных (DLP) и мониторинга сетевой активности, ориентированные на анализ доменных имен. Вместо отправки файлов на сервер злоумышленников троянец загружает их напрямую в облачное хранилище Amazon S3, используя сгенерированные сервером одноразовые ссылки.
Описание
Атака начинается с классического вектора - документа Microsoft Word с вредоносным макросом. В качестве приманки используется тема, связанная с распродажами в Рамадан. После запуска макроса на компьютере жертвы разворачивается цепочка сложных действий. Вредоносный код пишет на диск исходный код на C#, который затем компилируется прямо на атакованном устройстве с помощью легитимного компилятора Microsoft "csc.exe". Этот метод, известный как "компиляция на лету", позволяет избежать детектирования по сигнатурам и хешам файлов, так как исполняемый файл не существует до момента атаки. Следующий этап включает запрос к серверу управления на домене "article-learning[.]xyz", который возвращает код промежуточной полезной нагрузки на языке MSIL.
Этот код ассемблируется в библиотеку DLL с помощью "ilasm.exe" и запускается через "rundll32.exe". После выполнения все промежуточные файлы тщательно удаляются, что сводит к минимуму следы в файловой системе. Финальная нагрузка - троянец, обозначенный исследователями как Ftu4You, - регистрируется в системе и выходит на связь с панелью управления через домен "article-learning[.]com". Аналитики компании CloudSEK детально описали эту кампанию в своём отчёте, выделив её техническую сложность. Троянец обладает широким набором функций, включая выполнение произвольных команд командной строки, захват скриншотов экрана, обзор и копирование файлов с диска, а также загрузку дополнительных программ.
Наиболее примечательной является архитектура эксфильтрации данных. Когда оператор на стороне злоумышленника отдает команду на выгрузку файла или скриншота, троянец не начинает передачу напрямую на свой сервер. Вместо этого он запрашивает у панели управления специальную предварительно подписанную (presigned) URL-ссылку для загрузки в конкретный сегмент AWS S3. Эта ссылка является одноразовой и ограниченной по времени. Троянец использует её для прямого подключения к инфраструктуре Amazon и загрузки данных, после чего лишь уведомляет свой сервер об успешном завершении операции. Таким образом, бинарный трафик с конфиденциальной информацией никогда не проходит через контролируемые злоумышленником домены, что делает его практически невидимым для правил безопасности, настроенных на отслеживание подключений к подозрительным адресам.
Кампания также использует ряд других техник для уклонения от обнаружения. Помимо компиляции на устройстве, в коде применяется шифрование с нестандартным размером блока Rijndael-256, что может обмануть автоматические правила детектирования. Загрузчик выполняет криптографические операции с мусорными данными до и после основной полезной нагрузки, потенциально сбивая с толку песочницы, анализирующие время выполнения. Для загрузки файлов троянец маскируется под обычный браузер Chrome, используя соответствующий заголовок User-Agent. В процессе также задействуются только легитимные системные бинарные файлы Windows, что затрудняет работу систем, основанных на белых списках приложений.
Для специалистов по защите данный инцидент служит напоминанием о необходимости комплексного подхода. Традиционный фокус на блокировке вредоносных доменов и анализе сетевого трафика может оказаться недостаточным. Обнаружение такой активности требует более глубокого анализа поведения процессов в операционной системе, отслеживания аномального использования легитимных системных утилит вроде "csc.exe" или "ilasm.exe", а также мониторинга исходящих HTTPS-подключений к публичным облачным сервисам, даже если они выглядят как легитимный трафик. Появление троянцев, использующих облачную инфраструктуру в качестве прокси для кражи данных, представляет собой серьезный вызов и указывает на необходимость адаптации существующих практик безопасности к меняющимся тактикам противника.
Индикаторы компрометации
URLs
- https://article-learning.com
- https://article-learning.xyz/files/app-provider/get-app
MD5
- 6d0971b08a5529f0e0458a50db7d9d63
SHA1
- 39431dff89b5bf4472e9e570cb955ddbb120cf04
SHA256
- 1d63beafceb04a83b54c6fc60e4df6505a89c386f2128c6b4329fc0042a17de0
- f4ef9c97ea5abb2cebe7e69d8d07fbdeb580c029902e188b073b75f450523cb4
YARA
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | rule Maldoc_stage_1 { meta: description = "Detects Ramadan lure maldoc (Stage 1 VBA dropper)" author = "CloudSEK" tlp = "AMBER" severity = "HIGH" target = "mal.doc" strings: $ole_magic = {D0 CF 11 E0 A1 B1 1A E1} $appname = "quanta" ascii wide $compiler = "csc.exe" ascii wide // Additional strings (c2_xyz, c2_path, runmain, lolbin2, rijndael, pkey1..pkey7, quantum, lolbin1, lolbin3, rfc, msil_ext) // are referenced in the condition below but were not fully defined in the available text. condition: $pe_magic at 0 and ( ($c2_xyz and $c2_path) or ($runmain and $lolbin2 and $rijndael) or (2 of ($pkey1, $pkey2, $pkey3, $pkey4, $pkey5, $pkey6, $pkey7)) ) and 2 of ($appname, $quantum, $lolbin1, $lolbin2, $lolbin3, $rfc, $msil_ext) } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 | rule RAT_Stage3 { meta: description = "Detects Ftu4You RAT MSIL payload (Stage 3 w.il / w.dll)" author = "CloudSEK" tlp = "AMBER" severity = "CRITICAL" target = "w.il / w.dll / quantum<N>.dll" strings: $ns = "Ftu4You" ascii wide $c2_com = "article-learning.com" ascii wide $c2_xyz = "article-learning.xyz" ascii wide $order66 = "Order*66" ascii wide $bdown = "bdownload" ascii wide $finish = "Finished" ascii wide $newshell = ">>>New One Created" ascii wide $deadshell = ">>>Session unexpectedly closed" ascii wide $cmdexec = "cmdExec" ascii wide $screenshot = "getScreenshot" ascii wide $getdir = "getDir" ascii wide $upload = "uploadFile" ascii wide $api_id = "/api/clients/identifyClient" ascii wide $api_ord = "/api/orders/getOrders/" ascii wide $api_cmd = "/api/cmd/onCmdRun" ascii wide $api_aws = "/api/assets/getAwsUploadUrl" ascii wide $api_s3ok = "/api/assets/onCreated" ascii wide $api_dir = "/api/files/onGetDirRun" ascii wide $msid = "msid.txt" ascii wide $mutex = "QSR_MUTEX_" ascii wide $runmain = "RunMain" ascii $sha_hash = "f4ef9c97ea5abb2cebe7e69d8d07fbde" ascii $partial_key = "F9B335AC66" ascii condition: ($ns) and (5 of them) and (1 of ($c2_com, $c2_xyz)) and (2 of ($order66, $bdown, $finish, $newshell, $deadshell, $cmdexec, $screenshot, $getdir, $upload)) and (1 of ($api_id, $api_ord, $api_cmd, $api_aws, $api_s3ok, $api_dir)) and ($msid or $mutex) and ($runmain or $sha_hash or $partial_key) } |
