Главная страница » Индикаторы компрометации
0
7 часов
Индикаторы компрометации

Обнаружен многоступенчатый фреймворк доставки вредоносного ПО, использующий файловые техники и открытые директории

information security

Специалисты по кибербезопасности из компании LevelBlue, ранее известной как AT&T Cybersecurity, в ходе расследования инцидента, обнаруженного их SOC (центром управления информационной безопасностью), выявили сложную многоэтапную кампанию по распространению вредоносного программного обеспечения. Изначально инцидент выглядел как единичное срабатывание системы защиты конечных точек на подозрительный VBS-файл, однако более глубокий анализ показал, что это лишь верхушка айсберга. За ним стоит целый многоразовый фреймворк, спроектированный для гибкой доставки различных типов вредоносного кода с использованием файловых техник, обфускации и открытой архитектуры инфраструктуры злоумышленников. Этот случай наглядно демонстрирует, как даже успешно предотвращенная атака на конечной точке может быть частью гораздо более масштабной и подготовленной кампании.

Описание

Расследование началось с события, которое зафиксировал SOC LevelBlue на базе платформы мониторинга SentinelOne. Система обнаружила и заблокировала выполнение подозрительного VBS-скрипта в директории Public Downloads, предотвратив его исполнение. Несмотря на успешное срабатывание защиты, первичный анализ не выявил репутации у файла в открытых источниках, а телеметрия не показала связанной активности в истории. Это создавало иллюзию изолированного инцидента. Однако наличие в захваченной телеметрии закодированной команды PowerShell побудило аналитиков из команды Cyber Threat Intelligence к более детальному изучению артефактов.

Исследование скрипта показало, что он представляет собой сильно обфусцированный с помощью символов Юникода загрузчик. После декодирования скрипт восстанавливал и исполнял команду PowerShell, закодированную в Base64. Эта команда, в свою очередь, реализовывала тактику файловой загрузки, при которой вредоносный код не записывается на диск, что усложняет его обнаружение традиционными сигнатурными методами. Интересно, что PowerShell-компонент загружал с удаленного ресурса не исполняемый файл, а... изображение в формате PNG. Внутри графического файла, между специальными маркерами BaseStart и BaseEnd, был скрыт код .NET-сборки, закодированный в Base64. Эта сборка затем загружалась непосредственно в память с помощью рефлексии, техники, позволяющей исполнять код без его физического сохранения на диск. Данный загрузчик известен в сообществе как PhantomVAI.

Анализ параметров, передаваемых загруженной сборке, выявил связи с внешней инфраструктурой злоумышленников. Сборка получала URL-адреса, ведущие к текстовым файлам, которые после обратного преобразования и декодирования содержали различные полезные нагрузки. Среди них были обнаружены варианты удаленного трояна Remcos RAT и библиотека DLL для обхода контроля учётных записей (UAC), используемая для повышения привилегий в системе. Это указывало на модульный дизайн атаки, где один и тот же механизм загрузки может доставлять разные типы вредоносного ПО.

Следующим ключевым открытием стало обнаружение открытой архитектуры инфраструктуры злоумышленников. Исследование сетевых артефактов привело к домену news4me[.]xyz, на котором были открыто размещены несколько директорий. Просмотр их содержимого показал структурированный подход к организации кампании. В директориях "/coupon/" и "/protector/" находились десятки обфусцированных VBS-скриптов, аналогичных изначально обнаруженному, каждый из которых был связан с определённым вредоносным payload, хранящимся в виде текстового файла. Это демонстрировало модель, при которой злоумышленники могли повторно использовать один и тот же фреймворк загрузки, просто подменяя конечную полезную нагрузку в зависимости от целей кампании.

Более того, в отдельной директории "/invoice/" был размещён совершенно независимый вектор атаки. Он включал в себя ZIP-архив, маскирующийся под PDF-документ, и пакетный скрипт (BAT-файл). Внутри архива находился не документ, а файл интернет-ярлыка, который при открытии перенаправлял жертву на подконтрольные злоумышленникам домены, использующие сервис Cloudflare. Последующий анализ показал, что исполнение связанных скриптов приводило к развёртыванию дополнительных payload, включая вредоносные компоненты, написанные на Python, которые классифицируются как трояны семейства Kramer. Активность этих компонентов включала инъекцию кода в память и установление исходящих сетевых соединений.

Общий анализ выявил кампанию умеренного-высокого уровня риска, причём основная угроза исходит не от конкретной полезной нагрузки, а от гибкости и многоразовости всей инфраструктуры. Использование файловых загрузчиков, обфускации, встраивания кода в нетрадиционные форматы файлов (PNG, интернет-ярлыки) и открытых директорий значительно повышает шансы на уклонение от стандартных защитных механизмов. Открытая конфигурация инфраструктуры снижает операционные затраты для угрозоносных акторов, позволяя им быстро ротировать payload и поддерживать несколько векторов атаки с одного домена.

Основной вывод для специалистов по безопасности заключается в том, что единичное событие блокировки может маскировать более широкую кампанию, особенно когда используются модульные загрузчики и общая инфраструктура. Необходимо проводить глубокий анализ за рамками первоначального оповещения, чтобы оценить масштаб угрозы и выявить связанные активы. В качестве превентивных мер эксперты LevelBlue рекомендуют ограничивать исполнение скриптовых файлов (VBS, BAT) из пользовательских директорий, ужесточать политики использования PowerShell, блокировать или контролировать трафик WebDAV для противодействия доставке через интернет-ярлыки, а также применять фильтрацию на уровне доменов верхнего уровня, таких как .xyz. Данный инцидент подчёркивает важность многоуровневой защиты и непрерывного мониторинга для противодействия современным сложным угрозам.

Индикаторы компрометации

Domains

  • bacteria-spent-endless-grammar.trycloudflare.com

URLs

  • adapter-chess-gently-residential.trycloudflare.com@SSL\DavWWWRoot\UKCC1.txt
  • aye-knights-copyrights-nominations.trycloudflare.com\DavWWWRoot\ta\ukd22.wsf
  • bacteria-spent-endless-grammar.trycloudflare.com/okl
  • css-direct-excel-highlights.trycloudflare.com/1Nov20MA.zip
  • css-direct-excel-highlights.trycloudflare.com/1Nov20ST.zip
  • css-direct-excel-highlights.trycloudflare.com/1Nov20SU.bat
  • grammar.trycloudflare.com@SSL\DavWWWRoot\okl\Scan704370326.wsh
  • ia600407.us.archive.org/7/items/msi-pro-with-b-64_202511/MSI_PRO_with_b64.png
  • ia600606.us.archive.org/11/items/msi-pro-with-b-64_20251030/MSI_PRO_with_b64.png
  • ia601409.us.archive.org/25/items/msi-pro-with-b-64_20251106/MSI_PRO_with_b64.png
  • ia801409.us.archive.org/10/items/msi-pro-with-b-64_20251111/MSI_PRO_with_b64.png
  • news4me.xyz/coupon/
  • news4me.xyz/invoice/
  • news4me.xyz/protector/
  • news4me.xyz/uac.png
  • shirts-june-gratis-repository.trycloudflare.com/1Nov20MA.zip
  • shirts-june-gratis-repository.trycloudflare.com/1Nov20ST.zip
  • shirts-june-gratis-repository.trycloudflare.com/1Nov20SU.txt
  • tammhdka.cloud:5790/PH1NovMA.zip
  • tammhdka.cloud:5790/PH1NovST.zip
  • tammhdka.cloud:5790/PHNovSU.bat
  • tammhdka.pro:5590/1NovMA.zip
  • tammhdka.pro:5590/1NovST.zip
  • tammhdka.pro:5590/1NovSU.txt

SHA1

  • 08e3321955194964bd1e3784691e2d62055f6860
  • 0e4dbc00d72f228afe9ee58499f70f3f9bbfcebe
  • 0fa5b16ed45922637cdaadca8082e329b8775732
  • 1966478c5568ef90ffc1d55ce09192e1a9e774c5
  • 1e0ab184a8941ab4d5e3552237061019a06b3cca
  • 1e832ae194be28692c669b9a3f5a5255d3022b5b
  • 1fb396bbf73735b90e521eb5534c97d5cc049d99
  • 274ed28bd083feb5600297a1728a4063d6b415ad
  • 2d7114685313f9a6045ccb19c2a4d194398d567b
  • 314b42be5ce942dd1c3d0bddb0cc6e0cdcb1acad
  • 3aef7e2d1baa433579b644a81fc080c541f3e7d2
  • 40634fc36fbe0d2903a9ac319ff7fd22ce4a7ace
  • 48f9d6a325afd0daa9cbd6e05a65c0b46fa8f536
  • 4e23a77ec70a27941be891433cff5b56d290d8b1
  • 51b25f39a4367484c673a2bce38efd95de1cbbd5
  • 5f57b08104cd8961a231f514d3ffaad3f873e3d6
  • 63a7cc185c023c2e52519df9aa530fb2c35a2d8f
  • 69fe62c8af8eefddf48eef454929c4fae7f2f2a6
  • 77429c27de47d09ac51bc4c5f44329fe823ad01c
  • 810afcebb23642b681d151a81fdcca3fcc43f96a
  • 84fdff23b056633b43cc7375d792c4c100a606ec
  • 86746d0ad3acfa0e90b7691ccf675dd57af40013
  • 905578853c8880da35d97e599cb0168cf3bf74f8
  • 961c4c69cfaca6f085a67cd5ee3a4b7b5dc4422f
  • 98cdfb464d8a98e07479909dd1db04eec849e94e
  • 9b90e2c49b52620531a75d4f23dd48da25670e03
  • 9c0e9d1bde0aa69374b4c7301fb53d0e47ab7ade
  • a27315ce27675e953aec70a7639e2ea3f77b7159
  • a4a3d9ac1df13736a29a615fc86b5f3835aba11d
  • a5513a9367daf2dbb780d17f2a9302686c7ad3d5
  • a55d61fb7fe814afeab4f4d7f42be4cf60609414
  • a97f124854c8ddd7b52a7669a51c22b7a021ee78
  • bfc6dbb94f02f7a61145f86e550015f75d5829b6
  • c214e2cde87d614daceb2cdcbf4ff88fa24a1d43
  • c72921d080ea0273f54b8cf2f7ef1241cca16d71
  • c76ca312e44a02a9713062eb90410c3008819727
  • c871213fd20404fb5b48a1e4d4b256f3bffbfcd9
  • ca00bb814bb7ab92c738dc10362a06b7aaf9247e
  • d2888b491eb772daf92575245f352146b9d9d8f2
  • d450e39c688b5ad83666ab770c44c6feb2374a76
  • de7e91b62651355d43da56ed468dd6e92118192c
  • e05701bf93c9032b5714774507c3b026a51f4fea
  • e52683b9c41e8de19fd6c213ed0c960ec1b6c5b1
  • e8a5dbeb166ca201b24a9d68b6d5cd0f10744491
  • eaedebdc23056fa4964a75d35bf20f9dd179a582
  • f66364a3566d48e0588237e288003c541ae0fd73
  • f8f63c1c20bacc97925a9c86c6e4b887cdd11631
  • ff3512c52e34b7fad458d632f347a37f32a671fd
  • ffe9a4a3daaa5773e324014d0282d4c6bbbc1da2
Комментарии: 0
Похожие записи