Киберпреступники постоянно совершенствуют методы обхода традиционных средств защиты, стремясь максимально скрыть своё присутствие в системе. Новый пример подобной тактики - многоступенчатая атака, обнаруженная в феврале 2026 года специалистами Zscaler ThreatLabz. Её особенность заключается в комбинировании фишинга, бесфайлового выполнения кода и манипуляций с низкоуровневыми структурами Windows для скрытой установки легитимного инструмента удалённого доступа ConnectWise ScreenConnect, который затем может использоваться в злонамеренных целях. Этот инцидент демонстрирует растущую сложность атак, нацеленных на уклонение от детектирования, и подчёркивает важность поведенческого анализа в дополнение к сигнатурным методам.
Описание
Атака начинается с классического, но эффективного социального инженерного приёма. Жертва попадает на сайт, выдающий себя за официальный ресурс Adobe, где ей предлагают скачать поддельный установщик Acrobat Reader. При этом автоматически загружается файл с расширением .vbs - загрузчик на VBScript с сильной обфускацией. Его ключевая задача - максимально затруднить статический анализ. Вместо явного использования имён объектов, таких как "WScript.Shell", скрипт динамически собирает их из фрагментов с помощью функций "Replace()" и "Chr()", выполняя арифметические операции прямо во время исполнения. Это делает код практически нечитаемым до момента запуска и усложняет работу песочницам, которые полагаются на предварительный разбор скрипта.
Аналитики Zscaler ThreatLabz отметили в своём исследовании, что следующим этапом VBScript-загрузчик запускает PowerShell с политикой обхода ограничений ("-ExecutionPolicy Bypass"). Полученная команда выполняет последовательность действий: создаёт временную директорию, загружает из Google Drive текстовый файл, содержащий исходный код на C#, и после паузы компилирует его прямо в память с помощью "Add-Type". Этот метод, известный как "отражение" (reflection), позволяет выполнить .NET-сборку, никогда не записывая её на диск. Таким образом, полезная нагрузка избегает контакта с файловой системой, где её могли бы обнаружить антивирусные сканеры или средства анализа артефактов.
Внедрённый .NET-загрузчик, в свою очередь, содержит внутри себя ещё одну сборку, также представленную в виде массива байтов. Используя reflection, он загружает и исполняет её точку входа. Для дальнейшего усложнения анализа злоумышленники применяют техники разделения имён методов - например, используют строки ""Lo"+"ad"" вместо прямого вызова "Load". Однако наиболее изощрённой частью атаки становятся манипуляции с Process Environment Block (PEB) - структурой данных Windows, содержащей информацию о процессе. Загрузчик выделяет память, размещает в ней небольшой фрагмент shellcode-кода для x64, который получает адрес PEB. Затем он модифицирует поля структуры, отвечающие за имя и путь к исполняемому файлу процесса, подменяя их на "C:\Windows\winhlp32.exe".
Эта техника, известная как маскарадирование процесса, позволяет вредоносному коду "притворяться" легитимным системным компонентом для инструментов мониторинга и систем обнаружения и реагирования на конечных точках (EDR), которые часто полагаются на данные PEB для идентификации процессов. Параллельно атака использует ещё один механизм для повышения привилегий. Загрузчик обращается к автоматически повышаемым COM-объектам Windows, создавая строку-монтировку с требованием прав администратора. Строка хранится в обратном порядке и восстанавливается во время выполнения, что также является попыткой обхода простых сигнатур. Успешное получение такого объекта позволяет выполнять код с повышенными правами без вывода запроса контроля учётных записей (User Account Control) пользователю.
Финальный этап цепи атаки нацелен на развёртывание целевого инструмента. С помощью PowerShell загрузчик создаёт директорию, загружает установочный MSI-пакет ScreenConnect с внешнего сервера и запускает его установку через "msiexec". После этого на системе оказывается установлен легитимный клиент удалённого управления, который злоумышленники могут использовать для дальнейших действий - от кража данных до перемещения по сети. Подобное злоупотребление доверенными инструментами для удалённого администрирования и управления стало распространённой тактикой, поскольку их сетевая активность часто выглядит менее подозрительной по сравнению с традиционными бэкдорами.
Данный инцидент наглядно иллюстрирует эволюцию угроз в сторону минимизации артефактов и максимального использования возможностей самой операционной системы для уклонения. Комбинация динамической обфускации, бесфайлового выполнения, манипуляций с PEB и злоупотребления доверенными механизмами вроде COM-автоповышения создаёт серьёзные вызовы для защитных решений, построенных исключительно на сигнатурах и статическом анализе. Это подчёркивает необходимость для организаций внедрять многоуровневую защиту, уделяя особое внимание мониторингу аномального поведения процессов, анализу активности PowerShell и контролю за установкой любых, даже легитимных, средств удалённого доступа. Понимание подобных сложных цепочек атак критически важно для построения эффективной обороны в современных условиях.
Индикаторы компрометации
URLs
- drive.google.com/uc?id=1pyyQRpUmH0YtPG-VqvMNzKUo9i8-RZ7L&export=download
- drive.google.com/uc?id=1TVJir-OlNZrLjm5FyBMk_hDjG9BV1zCy&export=downloadcccccdcjeegrekhllfijllutvbrrcifehuenfirtelit
- drive.google.com/uc?id=1xuJR29UP5VcY6Nvwc7TDtt7fmcGGqIVc&export=download
- eshareflies.im/ad/
- https://x0.at/qOfN.msi
MD5
- 07720d8220abc066b6fdb2c187ae58f5
- 07f95ff34fb330875d80afadca3f0d5b
- 3d389886e95f00fade1eea67a6c370d1
- 3effadb977eddd4c48c7850c8dc03b13
- a7e5dbec37c8f431d175dfd9352db59f
- c02448e016b2568173de3eedadd80149
- c36910c4c8d23ec93f6ae7d7a2496ce5
- e4b594a18fc2a6ee164a76bdea980bc0
