«Shadow Hijacker»: новый комплексный вредоносный образец с многоуровневым уклонением и контролем

Образец был первоначально перехвачен через платформу разведки угроз Rising после обращения из одной чувствительной организации. Его ключевой особенностью является комплексное использование техник для обхода стандартных средств защиты, включая прямые системные вызовы (syscalls) через инструмент SysWhispers2 для уклонения от EDR (систем обнаружения и реагирования на конечных точках), выполнение кода непосредственно в памяти и блокировку журналов событий Windows. Более того, вредоносная программа демонстрирует полный цикл атаки, соответствующий матрице MITRE ATT&CK.

Атака начинается с файла ярлыка (LNK), который при открытии пользователем тихо устанавливает файл "pagefile.db". Этот файл, маскирующийся под системный, на самом деле является установочным пакетом MSI. В процессе установки он встраивает шелл-код (shellcode) непосредственно в реестр Windows. Затем этот шелл-код загружается и выполняется отдельным модулем "loader.dll".

Именно "loader.dll" использует технику прямых системных вызовов, что позволяет обходить хуки безопасности, устанавливаемые решениями EDR. После этого он считывает и исполняет полезную нагрузку (payload) из реестра. Основной модуль кражи данных, извлеченный в память, берет на себя дальнейшие операции.

Для обеспечения долговременного присутствия в системе вредонос создает плановую задачу "SystemCoreUpdate", которая использует легитимный "msiexec.exe" для тихой повторной установки. Он также активно противодействует анализу, закрывая определенные дескрипторы, связанные с "\RPC Control", что может помешать работе инструментов для изучения вредоносных программ в песочницах. Дополнительно, образец блокирует отправку телеметрии, перехватывая функцию "EtwEventWrite".

Кража данных организована методично. Вредонос рекурсивно обходит локальные диски, отбирая документы определенных форматов (txt, doc, docx, xls, xlsx, pdf) и копируя их в скрытую папку в профиле пользователя. Затем эти файлы шифруются с помощью командной строки RAR в архив "hiberfil.db" с заданным паролем. Этот архив периодически обновляется и копируется на подключенные съемные носители, что обеспечивает физический эксфильтрации данных.

Для скрытного распространения через USB-накопители образец применяет хитрую социальную инженерию. Он находит самую новую папку на флеш-диске, скрывает ее атрибутами, а на ее место создает ярлык с таким же именем. При попытке пользователя открыть якобы папку, на самом деле запускается установка вредоносного "pagefile.db".

Управление осуществляется через скрытный канал связи. Образец использует DNS поверх HTTPS (DoH) для разрешения доменных имен через доверенные сервисы Cloudflare и Google, что затрудняет обнаружение аномального DNS-трафика на сетевом уровне. Получив IP-адрес, основной модуль устанавливает постоянное соединение с сервером управления через WMI-события, позволяя атакующему удаленно выполнять произвольные JavaScript-команды в системе жертвы.

Эксперты Rising отмечают высокую степень модульности и адаптивности данного образца. Использование легитимных компонентов системы, таких как "msiexec.exe", "WMI" и "RAR", значительно повышает его скрытность. Комплексный характер атаки, нацеленный на длительную резидентность и тотальный сбор информации, классифицирует эту угрозу как серьезную, особенно для корпоративных сетей, где она может привести к значительной утечке конфиденциальных данных.

В настоящее время сигнатуры для обнаружения данного вредоносного комплекса уже добавлены в защитные продукты Rising. Специалисты по безопасности рекомендуют проявлять повышенную осторожность с файлами со съемных носителей, своевременно обновлять системное и антивирусное ПО, а также внедрять многоуровневую защиту, включающую сетевой мониторинг и анализ поведения на конечных точках.

IPv4

• 152.42.225.184

Domains

• azqutg.swintlsone.com

MD5

• 144b18ab4c80a0f4dbee3eb46517ea10
• b9a62f9c32dd245be35ebb826b9950cd
• ca6b1f3e3a2263909d10d65f165453e1
• fcb9853eb6d6ac0a070935cf711e06a7