За кулисами скрытой угрозы: анализ многоэтапного трояна PureRAT с уникальными техниками уклонения

Инцидент начинается с классического, но по-прежнему эффективного вектора - вредоносного ярлыка Windows (.LNK файла). При его открытии незаметно для пользователя запускается скрытая команда PowerShell, которая загружает следующий этап - сильно обфусцированный загрузчик на VBScript. Этот скрипт, в свою очередь, обеспечивает закрепление в системе, создавая задание в Планировщике задач Windows для регулярного выполнения. Однако ключевой элемент этой стадии - использование стеганографии. Вредоносный исполняемый файл маскируется внутри обычного PNG-изображения, скачиваемого из интернета, что позволяет ему обходить базовые сигнатурные методы защиты.

Аналитики Trellix в подробном отчёте описали, как после извлечения и декодирования полезной нагрузки из изображения начинается этап активного противодействия средствам безопасности. Для получения повышенных привилегий без запроса к пользователю троян использует технику обхода UAC через легитимный системный бинарный файл "cmstp.exe". Далее, чтобы скрыть своё присутствие в памяти, применяется сложная техника подмены процесса (Process Hollowing). Вредоносный код внедряется в законный процесс "Msbuild.exe" - инструмент сборки проектов Microsoft, что маскирует активность под легитимную системную задачу. Кроме того, перед запуском основной функциональности троян проводит проверки на наличие виртуальных сред, таких как VMware и QEMU, чтобы усложнить анализ исследователям и системам песочниц.

После успешного развёртывания PureRAT переходит к фазе разведки. Он проводит тщательное сканирование системы, собирая данные об установленных антивирусных продуктах, уникальных идентификаторах оборудования, правах пользователя, наличии веб-камеры и даже криптовалютных кошельках. Вся эта информация отправляется на управляющий сервер , после чего троян устанавливает с ним постоянное соединение и переходит в режим ожидания команд. Именно здесь раскрывается его модульная архитектура. Базовый компонент остаётся минималистичным, а дополнительные возможности, такие как кейлоггинг, удалённый доступ к рабочему столу или захват аудио и видео с устройства, загружаются оператором по требованию в виде плагинов. Это делает угрозу чрезвычайно гибкой и сложной для обнаружения, так как её полный функционал раскрывается только в момент целевой атаки.

Подобные сложные многоэтапные атаки представляют значительный риск для организаций любого масштаба. Они позволяют злоумышленникам не только похищать конфиденциальные данные, но и долгое время оставаться внутри сети, перемещаться между системами и готовить почву для более разрушительных действий, таких как развёртывание программ-вымогателей. Анализ техник PureRAT, сопоставленных с матрицей MITRE ATT&CK, наглядно показывает эволюцию тактик: от начального доступа через социальную инженерию до получения постоянного присутствия и сбора данных. Защита от подобных угроз требует многоуровневого подхода, включающего не только периметровые решения, но и продвинутый мониторинг поведения процессов на конечных точках, контроль за запуском скриптов и легитимных системных утилит, а также анализ сетевого трафика на предмет аномальных соединений.

IPv4

• 178.16.52.58

URLs

• http://instantservices1.ddnsguru.com
• https://crixup.com

SHA256

• 121ae6c664aaef9ed2e44ed04c66e1cabcb00295c48289afd9e23126fc6edadf
• 40bd37eba7f9a56516c96092d5c6d50937fc4df00baf79155ada9d1673389830
• 7d22c61e8aafc9a2a812cafe7720922ab12d770e5af7d92527d9b0dbd6e10f30
• 96b4713c6b9e5283f9d2f570a51edce66fc44ced2ae130b65dbe1326690a27eb
• 96d4e77c0d433b14c2030be194ad12e159b5292f33da3a7d4d2749475845c253
• bb1075ca2ff0a9b5e407fb396f8f87705d8f512b42b3f4326586ef17fed8aabb
• e0c0418d8bad7b4731b7de35059c6a51c49825e6ec841193cd8842220957cff9