Тихая угроза MystRodX: двойной бэкдор оставался незамеченным более 20 месяцев

information security

Кибербезопасность продолжает сталкиваться с новыми вызовами, и одной из наиболее тревожных тенденций стало появление сложных угроз, которые могут оставаться незамеченными в течение многих лет. Недавно обнаруженный бэкдор MystRodX демонстрирует именно эту способность - сочетание передовых технологий скрытности и гибкой функциональности.

Описание

История обнаружения начинается 6 июня 2025 года, когда система мониторинга угроз Xlab зафиксировала подозрительный ELF-файл dst86.bin, распространяемый с IP-адреса 139.84.156.79. Файл имел крайне низкий уровень детекта на VirusTotal - всего 4 из 65 антивирусов отметили его как подозрительный, причём большинство ошибочно идентифицировало его как вариант ботнета Mirai. Однако AI-модуль платформы не подтвердил эту классификацию, что вызвало дополнительный интерес исследователей.

Детальный анализ показал, что файл является дроппером, который развёртывает совершенно новый тип бэкдора, не связанный с Mirai. Исследователи назвали его MystRodX по ряду признаков: использованию имени dst в процессе распространения, наличию класса cmy_ в коде и многократному применению различных XOR-алгоритмов.

MystRodX реализован на C++ и предоставляет типичный для бэкдора функционал: управление файлами, порт-форвардинг, обратные shell-сессии и управление сокетами. Однако его отличают две ключевые особенности: исключительная скрытность и гибкость. Скрытность обеспечивается многоуровневым шифрованием: строки, связанные с детектированием виртуальных машин и отладчиков, шифруются single-byte XOR, тогда как AES-ключи, полезная нагрузка и активационные пакеты защищены кастомным Transform-алгоритмом. Конфигурационные файлы зашифрованы с использованием AES в режиме CBC.

Гибкость проявляется в динамической активации функций на основе конфигурации: бэкдор может работать поверх TCP или HTTP, передавать данные в открытом виде или с AES-шифрованием. Наиболее примечательной особенностью является поддержка пассивного режима, при котором бэкдор не использует открытые порты, а активируется специальными DNS или ICMP-пакетами.

Анализ конфигурации показал, что самый ранний образец был настроен на активацию 7 января 2024 года в 23:10:20. Это означает, что угроза оставалась незамеченной в течение более чем 20 месяцев. Используя платформу киберпространственного картографирования Qihoo 360, исследователи идентифицировали три активных C2-сервера и технически подтвердили наличие в дикой природе еще не обнаруженных образцов.

Пассивный режим работы представляет особый интерес. Когда в конфигурации установлен параметр Backdoor Type равным 1, MystRodX переходит в режим прослушивания RAW SOCKET, что позволяет ему активироваться без открытия портов. Активационные пакеты, замаскированные под легитимный DNS или ICMP-трафик, содержат скрытые инструкции. DNS-активация использует доменные имена вида www.DomainName.com, где DomainName представляет собой base64-кодированную и зашифрованную полезную нагрузку. Аналогично, ICMP-пакеты содержат скрытые команды в своей полезной нагрузке.

После получения корректного активационного пакета бэкдор устанавливает соединение с указанным C2-сервером и готов к выполнению команд. Это делает его чрезвычайно трудным для обнаружения стандартными средствами сетевой безопасности, такими как IDS/IPS.

Исследователи предприняли попытки активации потенциально заражённых узлов путем рассылки DNS и ICMP-пакетов по всему интернету, но не получили ответов, что может указывать на использование в реальных атаках других ключей или magic-значений. Тем не менее, три активных C2-сервера ответили на probe-запросы, подтвердив continued existence угрозы.

Любопытной деталью является использование в MystRodX RSA-ключей для шифрования команд. Обнаружены два различных ключа, связанных с кампаниями "neybquno" и "zoufkcfr". Один из активных C2-серверов, 149.28.137.254, responded командами, которые удалось расшифровать известным ключом, в то время как два других - 156.244.6.68 и 185.22.153.228 - вероятно, относятся к неизвестной кампании, что указывает на наличие необнаруженных вариантов бэкдора.

На текущий момент уровень детекта MystRodX на VirusTotal остается низким - всего 6 из 65 антивирусов, причём большинство по-прежнему ошибочно классифицирует его как Mirai. Исследователи провели experiment: удалили из образца строки, связанные с детектированием ВМ и отладчиков, и заменили их открытым текстом. Это привело к снижению детекта, что подтверждает: сигнатуры антивирусов срабатывают именно на эти артефакты, а не на core functionality бэкдора.

Dropper использует single-byte XOR для шифрования строк, причём ключом является последний байт шифротекста. Расшифрованные строки включают checks для виртуальных сред (VMware, VirtualBox, Phoenix, Innotek), отладчиков (gdb, lldb, ltrace, strace) и компонентов лаунчера.

Полезная нагрузка шифруется с использованием кастомного Transform-алгоритма, который также применяется для защиты AES-ключей и активационных пакетов. После расшифровки dropper развёртывает три файла: chargen (основной бэкдор), busybox (вспомогательные утилиты) и daytime (лаунчер).

Лаунчер обеспечивает persistence, постоянно мониторя состояние основного бэкдора и перезапуская его при необходимости. В свою очередь, MystRodX также отслеживает состояние лаунчера, создавая thus механизм взаимного восстановления.

Конфигурация бэкдора, расшифрованная с помощью AES-CBC, содержит такие параметры, как campaign name, type of backdoor, C2 addresses, ports, interval и public key. Сетевой протокол включает поля длины пакета, main code, sub code, direction и данных. Поддерживаются команды для управления shell, файлами, портами и socks-прокси, а также для обновления конфигурации и включения шифрования трафика.

MystRodX 0 это сложная угроза, сочетающая в себе передовые технологии скрытого проникновения и широкий функционал. Его способность оставаться незамеченным в течение длительного времени подчеркивает необходимость совершенствования методов обнаружения и реагирования.

Происхождение MystRodX, вектор атаки и конкретные цели пока остаются неизвестными. Исследователи призывают security community к сотрудничеству и обмену информацией для лучшего понимания этой угрозы и разработки эффективных контрмер.

Индикаторы компрометации

IPv4 Port Combinations

  • 149.28.130.195:443
  • 149.28.137.254:8010
  • 149.28.137.254:8443
  • 156.244.6.68:443
  • 185.22.153.228:443

Domain Port Combinations

  • airtel.vpndns.net:443

URLs

  • http://139.84.156.79/dst-x86.bin

MD5

  • 1f003437e3d10e07f5ee5f51c61c548f
  • 2775d9eac1c4a5eb2c45453d63ea6379
  • 4db35e708c2d0cabe4709fa0540bafb7
  • 4dc20d1177da7932be3d63efe939b320
  • 5bf67ce1b245934965557de6d37f286f
  • 5e3a2a0461c7888d0361dd75617051c6
  • 72d377fa8ccf23998dd7c22c9647fc2a
  • a46f2c771fb580e2135ab898731be9a7
  • e8fcb7f3f0edfc7d1a99918dc14527d1
  • fa3b4d5fd1f6c995395244f36c18ffec
Комментарии: 0