Обнаружена новая кампания группы APT-C-00 с использованием фреймворка Havoc

Обнаруженный образец, представляющий собой DLL-библиотеку (динамически подключаемую библиотеку) размером 824 320 байт, демонстрирует высокий уровень изощренности и в настоящее время не детектируется антивирусными решениями. Анализ показал, что нагрузчик разработан с использованием среды Mingw-w64, что соответствует предыдущим инструментам группы Ocean Lotus. Для обеспечения скрытности использует динамическое разрешение API-функций через хэширование, что затрудняет анализ и обнаружение.

Ключевые тактики, примененные в этой атаке, включают создание мьютекса (взаимоисключающей блокировки) для обеспечения единственного экземпляра выполнения, проверку аргументов командной строки для обхода автоматизированных систем анализа и добавление записи в реестр для достижения устойчивости (persistence). Кроме того, злоумышленники применяют технику "прогрызания процесса" (hollowing), заменяя код в секции .text системного файла certmgr.dll на шеллкод, который в свою очередь отражательно загружает Havoc RAT.

Эксперты отмечают, что использование легитимного ПО для загрузки вредоносного кода (DLL side-loading) и вариативность в методах достижения устойчивости соответствуют прошлым операциям Ocean Lotus. Несмотря на некоторые отличия в деталях, общая схема атаки остается узнаваемой.

В рамках модели MITRE ATT&CK кампания охватывает такие тактики, как устойчивость (persistence - TA0003) и уклонение от защиты (defense evasion - TA0005), с использованием конкретных техник, включая модификацию реестра (T1547.001), побочную загрузку DLL (T1574.002) и прогрызание процесса (T1055.012).

Для защиты от подобных угроз специалисты рекомендуют проявлять осторожность с ссылками и вложениями в электронных письмах, особенно из непроверенных источников. Регулярное обучение сотрудников основам кибергигиены, включая проведение учебных фишинг-атак, помогает повысить общую осведомленность. Сетевую сегментацию и изоляцию критически важных систем следует рассматривать как необходимые меры для ограничения перемещения злоумышленников в случае компрометации. Не менее важны регулярный аудит безопасности, своевременное обновление систем и исправление уязвимостей для снижения поверхности атаки.

Обнаружение этой кампании вновь подчеркивает необходимость постоянного мониторинга угроз и проактивных мер защиты против постоянно развивающихся групп APT (Advanced Persistent Threat - усовершенствованная постоянная угроза).

IPv4 Port Combinations

• 144.202.46.221:443
• 46.37.124.147:80

MD5

• 2ca07512ba04df5d2d22a2c97d83cd5f
• 2da7798e8f7fbeafefbd297e3be5b21b
• 64062595582c36d0aed322e98108ff4b
• 6725c332b0fe684fbc94df399ab726bc
• 860c9bc3c291de45856218c2059e1117
• 963448d96d81138413f192dd80558d76
• ca1376132df84cb3be08d43114ad32d7