Специалисты исследовательской группы ThreatLabz компании Zscaler идентифицировали новое вредоносное ПО, получившее название YiBackdoor. Первые образцы этого бэкдора были зафиксированы в июне 2025 года. Анализ кода выявил существенные совпадения с известными семействами IcedID и Latrodectus, что указывает на возможную связь между разработчиками этих угроз. Изначально IcedID, подобно Zloader и Qakbot, создавался для кражи банковских данных, но со временем стал инструментом для обеспечения первоначального доступа при атаках с использованием программ-вымогателей. Роль YiBackdoor в этой цепочке пока не до конца ясна, но он может использоваться совместно с Latrodectus и IcedID.
Описание
YiBackdoor предоставляет злоумышленникам широкие возможности: сбор системной информации, захват скриншотов, выполнение произвольных команд и развертывание дополнительных модулей (плагинов), динамически расширяющих функциональность. Однако на текущий момент развертывание YiBackdoor носит ограниченный характер, что может свидетельствовать о стадии активной разработки или тестирования.
Технический анализ показал, что YiBackdoor обладает набором функций для противодействия анализу. Вредоносная программа динамически загружает функции Windows API, используя хэширование имен на основе операции ROR (циклический сдвиг вправо). Для обнаружения виртуальных сред и песочниц YiBackdoor задействует инструкцию CPUID с параметром 0x40000000 для получения информации о гипервизоре, сравнивая результат с известными значениями для VMWare, Xen, KVM, Virtual Box, Microsoft Hyper-V и Parallels. Кроме того, программа измеряет время выполнения блока кода, включающего инструкции "rdtsc" и "cpuid", чтобы определить, работает ли система под управлением гипервизора. Интересно, что хотя YiBackdoor собирает эту информацию, она не передается на командный сервер и не влияет на его поведение, что может быть признаком незавершенной реализации.
Процесс инициализации YiBackdoor включает проверку на наличие других экземпляров через создание мьютекса с уникальным именем. Если мьютекс уже существует, выполнение прекращается. Для маскировки своего присутствия бэкдор внедряет свой код в процесс "svchost.exe". Это достигается путем выделения памяти в целевом процессе, копирования кода и патчинга функции "RtlExitUserProcess", чтобы перенаправить поток выполнения на точку входа YiBackdoor в момент завершения процесса. Эта методика может позволять уклоняться от обнаружения некоторыми системами безопасности.
Для обеспечения устойчивости на зараженном хосте YiBackdoor копирует себя в новую директорию со случайным именем и добавляет запись в реестр Windows (ключ Run) с использованием псевдослучайного имени значения. После этого исходный файл удаляется для затруднения forensic-анализа.
Конфигурация бэкдора хранится в зашифрованном виде и включает список командных серверов с указанием протокола связи (HTTP или HTTPS), строки для генерации ключей шифрования TripleDES и вектора инициализации, а также идентификатор ботнета. Дешифровка конфигурации происходит с использованием уникального 64-байтного ключа. Примечательно, что перед дешифровкой проводится проверка на наличие жестко заданной строки "YYYYYYYYYY"; в случае совпадения выполнение прекращается. Два из трех перечисленных в конфигурации C2-серверов являются локальными IP-адресами, что дополнительно подтверждает гипотезу о тестовой фазе вредоносной программы.
Сетевое взаимодействие YiBackdoor организовано через HTTP/HTTPS запросы. URL-адрес формируется на основе данных из конфигурации и сгенерированного идентификатора бота. Пакеты данных, содержащие информацию о системе и пользователе, шифруются с помощью TripleDES. Ключи шифрования и вектор инициализации динамически меняются в зависимости от дня недели, что усложняет создание статических сигнатур для обнаружения трафика. Зашифрованные и кодированные в Base64 данные передаются в HTTP-заголовке "X-tag".
Бэкдор поддерживает ряд команд, включая сбор системной информации ("systeminfo"), создание скриншотов ("screen"), выполнение команд через "cmd.exe" ("CMD") и PowerShell ("PWS"), а также управление плагинами ("plugin", "task"). Отчеты о выполнении команд отправляются на C2-сервер в формате JSON.
Возможность загрузки и выполнения плагинов значительно расширяет функционал YiBackdoor. Плагины хранятся в зашифрованном виде во временной директории Windows и перезагружаются при каждом запуске бэкдора. Алгоритм шифрования плагинов идентичен тому, что ранее использовался в IcedID для дешифровки основной нагрузки и конфигурации.
Наиболее значимым доказательством связи YiBackdoor с семействами IcedID и Latrodectus являются совпадения в кодовой базе. Это включает использование идентичных наборов символов для генерации псевдослучайных строк, схожие форматы и длина ключей шифрования, нестандартная техника инъекции кода с хукерованием "RtlExitUserProcess", применение алгоритма хэширования Fowler-Noll-Vo (FVN) для расчета идентификатора бота, а также наличие одинакового неиспользуемого списка GUID Windows, который присутствует в IcedID и Latrodectus.
В заключение, YiBackdoor представляет собой новый инструмент в арсенале киберпреступников, тесно связанный с известными и активными угрозами. Хотя его текущие развертывания ограничены, модульная архитектура и возможность расширения функциональности через плагины делают его потенциально опасным. Облачная песочница Zscaler успешно обнаруживает эту угрозу. Организациям рекомендуется уделять внимание многоуровневой защите, включающей анализ сетевого трафика и поведенческие сигналы, для противодействия подобным сложным бэкдорам.
Индикаторы компрометации
URLs
- http://136.243.146.46:8898
SHA256
- af912f6f4bea757de772d22f01dc853fc4d7ab228dc5f7b7eab2a93f64855fbe
