В декабре 2025 года специалисты по кибербезопасности обнаружили и проанализировали новую версию вредоносного ПО, известного как Type 1 Backdoor, которое исторически связывают с группой DRBControl. Эта группа, классифицируемая как APT, была впервые подробно описана в отчете Trend Micro 2020 года под названием «Uncovering DRBControl: Inside the Cyberespionage Campaign Targeting Gambling Operations». Её деятельность направлена на кибершпионаж, а по характеристикам используемого кода эксперты предполагают возможную связь с другими известными APT-группами, такими как APT41 и APT27. Новый образец демонстрирует эволюцию инструментов группы и усложненные механизмы скрытности.
Описание
Атака начинается с загрузки вредоносной библиотеки DLL под именем "wlbsctrl.dll", которая маскируется под легитимный системный файл. Этот файл использует технику DLL side-loading для своего выполнения. Когда экспортируемая функция "WlbsCancelConnectionNotify" вызывается, загрузчик читает вредоносный код (шелл-код) из файла "C:\ProgramData\ntuser.ini". Затем этот шелл-код внедряется в процесс "winlogon.exe" с помощью функции "CreateRemoteThread" и выполняется в его контексте, что повышает привилегии и скрывает активность.
Примечательно, что файлы загрузчика и шелл-кода были загружены в VirusTotal в разное время и, вероятно, принадлежат разным кампаниям. Более того, временные метки компиляции указывают, что компоненты могли быть созданы ещё в 2023-2024 годах, что говорит о долгосрочном использовании этого арсенала.
Проанализированный шелл-код идентифицирован как загрузчик Mofu Loader или его вариант. Этот загрузчик известен в сообществе безопасности и ранее использовался различными APT-акторами для доставки таких вредоносных программ, как micDown и RatelS. Для противодействия анализу Mofu Loader использует несколько техник. Во-первых, он динамически разрешает адреса критических Windows API-функций, таких как "GetProcAddress", с помощью алгоритма хэширования ROR11. Затем он расшифровывает и распаковывает (используя алгоритм LZNT1) свой основной вредоносный модуль, PE-заголовок которого был преднамеренно поврежден для затруднения статического анализа.
Основная нагрузка (payload) - это усовершенствованный бэкдор (RAT), написанный на C++, который эксперты называют Type 1 Backdoor. По сравнению с ранее известными версиями, он претерпел значительные изменения в функционале и механизмах устойчивости (persistence).
Одно из ключевых нововведений - изменение метода достижения устойчивости в системе. Вместо прописывания в реестр (Run key) бэкдор теперь копирует специальный файл ярлыка ("chrome.lnk") в папки автозагрузки ("Startup") всех пользователей. Этот ярлык, вероятно, запускает программу, которая загружает первоначальный загрузчик через DLL side-loading. Таким образом, вредоносное ПО активируется при каждом входе любого пользователя в систему, что расширяет его охват.
Ещё более интересным является новый способ получения конфигурации, такой как адреса командного сервера (C2). Ранние версии хранили эти данные в открытом виде внутри исполняемого файла. Новая же версия использует режим promiscuous mode сетевой карты для прослушивания всего сетевого трафика. Она ждет специфический TCP-пакет, отправленный на IP-адрес заражённого хоста, с полезной нагрузкой длиной 29 байт и определённым «магическим числом» в начале ("0x12349876"). Конфигурация (протокол связи, порт, адрес C2, данные прокси) извлекается непосредственно из этого пакета. Этот подход затрудняет анализ для исследователей безопасности, даже если образец попадает в песочницы, так как C2-адрес не хранится в самом файле.
Были обнаружены и другие изменения. Например, в код была добавлена, но, по-видимому, не использовалась в данной кампании функция получения конфигурации с легитимного веб-сервиса "social.msdn.microsoft.com". Эта техника ранее наблюдалась в инструментах APT41 и некоторых вариантах ShadowPad.
Анализ объектно-ориентированной структуры кода через RTTI (Run-Time Type Information) показал значительную переработку функциональных модулей. Некоторые старые классы, отвечавшие за управление процессами или реестром, были удалены. Вместо них появились новые, например, "CHPPipe" для межпоточного взаимодействия и "CHPOnline" для туннелирования трафика по UDP. Архитектура, основанная на абстрактных классах "CHPNet" и "CHPPlugin", позволяет злоумышленникам гибко собирать бэкдор только с необходимыми для конкретной операции плагинами.
Также изменились методы работы с собираемыми данными. Пути сохранения записей клавиатуры (кейлоггера) и содержимого буфера обмена теперь более замысловатые, а сами файлы кодируются с помощью уникального алгоритма, что дополнительно осложняет их обнаружение и анализ.
Обнаружение этой обновлённой версии указывает на то, что деятельность DRBControl, впервые задокументированная в 2020 году, продолжается и эволюционирует. Группа активно модернизирует свои инструменты, внедряя более сложные механизмы скрытности и устойчивости. Специалистам по информационной безопасности рекомендуется учитывать описанные тактики, такие как использование загрузчика Mofu, нетрадиционные методы получения конфигурации через сетевой трафик и сложные механизмы persistence, при настройке систем обнаружения вторжений (IDS) и мониторинга. Постоянная адаптация угроз подчеркивает важность многоуровневой защиты и анализа поведения для выявления подобных целенаправленных атак.
Индикаторы компрометации
SHA256
- 2b3e7bf360fb89df77fec3e8dd034319ac37d40d19bb80db80c2b20b252c506a
- 9320b3f31c5a57fe7978741ea42f3a20c19564556218a88d3b71cf8af589d9a2
