Специалисты обнаружили новый троян с продвинутой защитой канала управления и функцией скрытого рабочего стола

Первоначальным вектором атаки стало скачивание вредоносного VBS-скрипта через браузер. Позже, в начале марта, другая исследовательская группа из Malwarebytes сообщила в своём блоге о дополнительном методе проникновения через поддельный сайт FileZilla, распространявший троянизированные установщики этого FTP-клиента. Это указывает на оппортунистический характер начального заражения, когда злоумышленники используют популярное легитимное ПО в качестве приманки. Сценарий заражения был многоступенчатым: VBS-скрипт создавал и запускал JScript-файл с повышенными привилегиями, который, в свою очередь, загружал TAR-архив. Внутри архива находился бинарный файл с самой нагрузкой троянца и PowerShell-скрипт, выступавший в роли загрузчика в память.

Технический анализ выявил высокий уровень сложности STX RAT. Для противодействия реверс-инжинирингу вредонос использует многослойное обфускации строк, включая шифрование с помощью скользящего XOR с переменным начальным ключом и AES-128 в режиме CTR. Строки, зашифрованные AES, расшифровываются непосредственно перед использованием и тут же удаляются из памяти. Кроме того, троянец применяет хеширование с солью для разрешения импортов Windows API и зависимостей модулей, полностью избегая явных имён функций и библиотек в своём коде. Это значительно усложняет статический анализ. Для обнаружения виртуальных сред и средств анализа программа проверяет обширный список артефактов в реестре и файловой системе, характерных для VMware, VirtualBox и QEMU, а также флаг отладки в структуре PEB и имя своего процесса, завершая работу при обнаружении признаков исследования.

Одной из наиболее примечательных особенностей STX RAT является продуманная криптографическая защита канала управления. Коммуникация с сервером управления осуществляется по TCP с использованием собственного протокола с префиксом длины. Для установления безопасного соединения применяется обмен ключами по алгоритму X25519 (Elliptic-curve Diffie-Hellman, ECDH). Подлинность публичного ключа сервера проверяется с помощью цифровой подписи Ed25519, что предотвращает атаки "человек посередине". На основе общего секрета с помощью HKDF-SHA256 генерируется сессионный ключ, который используется для шифрования всего дальнейшего трафика алгоритмом ChaCha20-Poly1305, обеспечивающим как конфиденциальность, так и целостность сообщений. В качестве резервного канала связи троянец поддерживает подключение через сеть Tor, используя собственную реализацию клиента для доступа к onion-адресам.

Функционал вредоносной программы крайне обширен. После успешного рукопожатия с сервером управления троянец отправляет вступительное сообщение в формате JSON, содержащее информацию о системе, и ждёт команды. Ключевой способностью является скрытый удалённый рабочий стол (Hidden Virtual Network Computing, HVNC), позволяющий злоумышленникам взаимодействовать с системой жертвы через невидимое пользователю окно, имитируя нажатия клавиш и движения мыши. Среди команд также выделяются кража данных, выполнение произвольных нагрузок в памяти (EXE, DLL, PowerShell, шелл-код), создание обратных прокси-туннелей и установка постоянства в системе. Последнее достигается за счёт нескольких механизмов, включая создание записей в автозагрузке реестра, использование MSBuild для выполнения C#-кода и даже подмену COM-объектов.

Особенностью кражи данных является её условная активация. Функции сбора учётных данных, паролей браузеров, cookies, данных криптокошельков и кэшированных учётных записей FTP-клиентов (включая FileZilla, WinSCP и Cyberduck) активируются только после получения явной команды "get_creds" от сервера. Это снижает шансы обнаружения в автономных песочницах или после блокировки инфраструктуры управления. Аналитики eSentire также обнаружили в коде индикаторы, намекающие на потенциальную возможность обхода Application-Bound Encryption (ABE) - механизма защиты данных в браузерах, однако успешного извлечения ключей ABE зафиксировано не было, что может указывать на нефункциональность этой опции в текущей версии.

Появление STX RAT демонстрирует чёткий тренд на коммерциализацию сложных вредоносных инструментов. Сочетание продвинутой обфускации, антиотладочных приёмов, криптографически защищённого канала и мощного функционала для скрытого контроля делает эту угрозу особенно опасной для организаций, где критически важна конфиденциальность информации. Финансовый сектор, ставший первой известной целью, является закономерным приоритетом для атакующих, однако аналогичные методы могут быть применены и против компаний из других отраслей. Защита от таких угроз требует комплексного подхода, включающего не только сигнатурные методы, но и поведенческий анализ, мониторинг аномальной сетевой активности и строгое соблюдение принципа наименьших привилегий для ограничения потенциального ущерба от успешного проникновения.

IPv4

• 147.45.178.61
• 95.216.51.236

Onion Domains

• yu7sbzk2tgm4vv56qgvsq44wnwgct6sven4akbb2n3onp46f42fcstid.onion

SHA256

• 0a60ccf29f89019b1eebbbb8ad9bf0302dba399a26a62449078dda919bbd247b
• 0e9c8e5ce94641e0b07607647a55c162adb18048f9c1e1e3dbe859cd08b2a797
• 17fb97a117cb684c82d522e65c0958c4c1267401317cda53c77035189546ebba
• 2b0d8c8e86dd372b44b99f8be4e4a7cbbfe5ce78bc10b714fc0735c15b7ddb32
• 2d2073ee0404dba0de7e248dc50f60258ca85e493be9021657e325a9bbd7cb01
• 3074a18a349d7e8022fbbdcfc059b7b729862488f1e23adcfe634bb94535fd61
• 3455ec49b8dc3743398a20c271194682eba40a67ee3b10549d3e6f837f7499ca
• 3511e2bb89f64555acdef3b486717fd517f500c8c630e02e9c6fa0ac5bed8950
• 3763b9e6eeb9a18875c45ba7d1a4f9fbfd6e80d1aea434e88ad99ee5b1bbd790
• 5168eae0ee183575b9a2d2c0c21a23400125502fb78f41b20db27a0bea58324d
• 52862b538459c8faaf89cf2b5d79c2f0030f79f80a68f93d65ec91f046f05be6
• 58460f8009df7ca5d2a9b2e9346d940388472cd4cd808ac6c797942824bde299
• 5c37b35929dac5c640d1d14e6dc74009c5072536d7fbe0c58822bf2387a8a22d
• 64adf1715483f63fc47283393f89857f0545a45d9e7382417189b5084d19c37b
• 66a155f6672fbbb041cb754c143db91b30084f98e9102c280ba95ffda156123b
• 77eea991e5c11da46e10c208fb8920a08a9bbdd8ffd72d0d6548fd8e45aa4647
• 799b29f409578c79639c37ea4c676475fd88f55251af28eb49f8199b904a51f3
• 84c2f3b13f5251cf87d1a2c95ac7ca111238f61d56358b2c4228c84ef9ed1ae7
• 8b28c0568baa7da10200a012a70ff735ccec557678a40d1b3fb16f5c0a31f6b7
• 8c812fa14a4c5ac63dd1dce47232b45bea95f93dcc5cac40bb12fa6f1961e1bc
• 9eeef204645391b9c9e3d5b54f3541b8e52440d2a288873749398741182ce7de
• a1ac7046e99181fe46edd62c00ca53602e7cd4430365307d0b3a47ddd1e9e670
• a2d703265d61b78837e86527aa2e31994a934c72b6c073db0c4d9c0c59a4e401
• a57683ae49dd24256dab0dd21ca83c4a08892fda92e83206447380a2b6c80221
• aab1f1bdba7083a25d7c841cd2dc3588cc0f3e28e29260bea5c2fd5b033697fb
• abd003ab1172cda83731dbe76d20a43c35a452d683d628a4e59eac8aadc68ffa
• ac97a49e17bf2a315205a30cf39a68c264b1dc4395b88e3997ec506c778159b0
• af7a76820a42c4cadfc7ff5fd372c99e9c5fd96ee9d14e07bde0902fec1881ab
• b3f21d0843fa7106b466c590c97b1b8b201a79ae82ed46b46d2422dd252d7836
• b59ac3088a58ebafdcdf00a5597c0de156de667d498bb8eccdaad5c8ba380e99
• b7d64d6a9c641855f400949c8c000e1b53b9355fbe3663e41f01e4b80f8eab60
• c4a5223bcf57b32e036c33c4d0e41aa44ff3eb4632c2fb4ed9c9bd593a04c3ee
• ca3bd6f8f4c8170c60896493b0bbfc4629bf94a3d0c5bd3f32397e869e98fb3d
• d122d6c2ccc69594bbfbca82315aa0803b3b93972a6ab83699797812b35d9679
• d32455fc430ffc13e8a89db9198f17184fd27001fc11a7e9531d6055932853db
• da65c30f4dee13d3c85c6a31386018d101d635e28eeb65ac73699787fecc20e0
• f04b0c3a53e3af7699c30ab9adb4d60a71a7da6945cf0ae287a9f67675433a67
• f431ff7bc59df48c137ef63839a5a2af520e0d3b28429468398e3b291f30d1e6
• f74d052337110c6282f4d9738263b89056d0c89d131b329d5d4e3189b67206ae
• f81e14ac7309019208529599a848c2287789f0ccbcd2f7609e9f239f52376763