"Пасхальный кролик": эксперты раскрыли детали работы шпионского инструмента APT29, который прячется как матрёшка

Архитектура EasterBunny напоминает русскую матрёшку. Внутри исполняемого файла спрятаны несколько слоёв кода, каждый из которых раскрывает лишь часть истинной логики работы программы. Разработчики применили множество конструкторов или сборщиков, чтобы запутать аналитиков и антивирусные системы. Особого внимания заслуживает реализация рефлексивного загрузчика для позиционно-независимого кода. Эта техника, как отмечают эксперты, ранее нигде в публичном доступе не документировалась.

Самая необычная особенность EasterBunny заключается в том, что программа запускается только на том компьютере, на который изначально была установлена. Такое поведение не имеет задокументированных аналогов в публичной сфере. Единственные отдалённые похожие примеры можно найти разве что в материалах Vault 7, опубликованных WikiLeaks и раскрывающих инструменты ЦРУ.

Цели у вредоносной программы чётко разделены на два направления. Первое - это закрепление в организации для сбора разведывательных данных. Вредоносная программа выступает в роли "импланта", который загружает модули, способные добывать свежие учётные данные пользователей и обходить стандартные механизмы смены и продления паролей. Второе направление - оперативный бэкдор. Этот инструмент позволяет операторам группы по своему желанию внедрять в заражённую систему другие средства, будь то модули постэксплуатации, такие как Cobalt Strike или Sliver, либо сборщики файлов, документов или электронных писем.

Эксперты S2GRUPO получили доступ к нескольким образцам в 2019 году в рамках работы по управлению инцидентами. Тогда было решено не раскрывать информацию публично, чтобы не потерять разведывательные возможности. Образцы оказались сильно похожи на семейство TrailBlazer, которое компания Crowdstrike описала в 2022 году. Речь идёт об артефактах третьего этапа атаки. Их главная задача - обеспечить постоянное присутствие в сети жертвы через систематическое получение учётных данных.

Для обхода смены паролей злоумышленники используют такие техники, как Golden Ticket, Golden SAML или Golden Certificate. Все эти методы позволяют скомпрометировать инфраструктуру аутентификации настолько глубоко, что даже полный сброс паролей не помогает очистить доступ. В отчёте LAB52 подчёркивается, что такие подходы уже не раз фиксировались у данной группы.

Техническая сложность EasterBunny впечатляет. Программа использует многослойное шифрование и запутывание как команд, так и данных. Разработчики систематически скрывают настоящую внутреннюю логику. Модульная архитектура позволяет загружать дополнительные компоненты прямо во время работы. В ходе анализа специалисты выявили несколько десятков команд, которыми операторы могут управлять вредоносной программой удалённо.

Среди возможностей EasterBunny - создание мьютекса для предотвращения повторного запуска, сохранение данных в реестре Windows, распознавание жертвы и связь с сервером управления. Операторы могут отправлять как обычные, так и постоянные команды, получать заголовки запросов, идентификаторы процессов, управлять прокси-учётными данными и интернет-настройками. Особый интерес представляют команды LOAD MODULE, позволяющие загружать дополнительные модули прямо во время работы вредоносной программы.

Исследователи также обнаружили признаки существования сложной платформы управления, которую APT29 использует для сборки, настройки и эксплуатации семейства EasterBunny. Это означает, что вредоносная программа не является одноразовым инструментом, а входит в целую экосистему шпионского ПО.

Важно понимать, что EasterBunny - это не программа-вымогатель, не троян для кражи банковских данных и не вирус для вандализма. Это высокоточный инструмент шпионажа, созданный государственной хакерской группой. Его задача - незаметно проникнуть в инфраструктуру целевой организации и оставаться там как можно дольше, собирая учётные данные и открывая доступ для других инструментов атаки.

Для специалистов по кибербезопасности выводы LAB52 означают, что даже самые современные системы обнаружения могут не справиться с такими угрозами. Рефлексивный загрузчик и многослойная обфускация делают EasterBunny практически невидимым для традиционных антивирусов и систем обнаружения вторжений. Единственный способ противостоять таким атакам - это превентивные меры, многофакторная аутентификация, строгий контроль доступа и постоянный мониторинг аномалий в поведении систем.

Публикация полного анализа, включающего индикаторы компрометации, YARA-правила и правила для систем обнаружения сетевых вторжений, позволит сообществу специалистов по кибербезопасности подготовиться к возможным атакам с использованием EasterBunny. Как отмечают сами исследователи, они решили открыто поделиться своими находками, чтобы укрепить коллективную устойчивость перед лицом передовых государственных угроз.

Это не первое и не последнее открытие, связанное с APT29. Группа действует как минимум с середины 2010-х годов и известна своими сложными многоэтапными атаками, направленными на правительственные учреждения, дипломатические ведомства, оборонные предприятия и исследовательские организации по всему миру. EasterBunny - лишь свежее подтверждение того, что технический уровень этой группы остаётся одним из самых высоких среди всех известных кибершпионских структур.

SHA1

• 0e8f10cbfddb5a2197a9c5246b66165138df81ee
• 16ae9e9abc0c4f84c5ab8d451f2a184fed0b6d46
• a133ecf19b8531377f7c4377086f46f6bc90bea2
• a2a241608339688b8aec3432fd93eacf33f1a83a
• b1b302c512185146ef793812052db92d7f3dbd6d