Закрепление в системе и эксплуатация законных сред выполнения: анализ бэкдора DinDoor и его связи с иранскими APT-группами

Данный вредоносный код, доставляемый преимущественно через MSI-файлы и полагающийся на среду выполнения Deno для своего функционирования, выполняет обфусцированный JavaScript с целью взаимодействия с командным центром (С2). Одновременно программа собирает отпечаток системы жертвы и загружает дополнительные модули-нагрузки. Недавний отчёт компании Hunt Intelligence связал активность DinDoor с иранской APT-группировкой Seedworm, также известной как MuddyWater, которая нацелилась на организации в США.

Анализ, проведённый в общедоступных репозиториях, позволил изучить цепочку исполнения для двух образцов этой вредоносной программы. Первый образец с именем migcredit.pdf.msi загружает полезную нагрузку на диск с последующим запуском через cmd.exe. Второй образец, Installer_v1.21.66.msi, отличается более скрытным механизмом: фальшивое диалоговое окно с ошибкой установки отвлекает жертву, тогда как вредоносный PowerShell-скрипт исполняет полезную нагрузку исключительно в оперативной памяти, не оставляя следов на накопителе данных.

Несмотря на различия в маскировке, оба образца объединяет идентичный алгоритм сбора отпечатков системы. Используя двойную роллинг-хеш-функцию на основе констант, код вычисляет уникальный 16-символьный идентификатор на основе имени пользователя, имени узла, объёма памяти и версии операционной системы. Данный идентификатор передаётся с каждым запросом к командному центру, позволяя серверу различать жертв между собой.

Наибольший интерес представляет образец Installer_v1.21.66.msi, который содержит жёстко заданный JSON Web Token (JWT), встроенный в URL командного центра. Расшифровка этого токена раскрыла метаданные кампании, включая домен serialmenot[.]com - известную мультиарендную платформу, которую [используют] как группы программ-вымогателей, так и субъекты государственных кибератак. Данный домен также ассоциируется с техникой, применяемой для распространения вредоносных инструментов, что указывает на пересечение тактических схем между различными киберпреступниками.

Несмотря на общий код, один из образцов записывает промежуточный этап работы на диск, тогда как второй загружает вредоносный сценарий напрямую в память в кодированном виде Base64 без записи файла на накопитель. Этот эксперимент показывает доминирование уточнения стратегии модульности, присущее вредоносным программам: атакующий может задействовать множество вариаций одного и того же DinDoor, а само ядро системы остаётся под определённым именем-зонтиком, маскируясь разнообразием. Перед любым взаимодействием с сервером потребляемая электроэнергия закрепления прекращается элементарной поверкой открытого порта локальной сети для избегания повторного заражения.

Поведенческая динамика системы весьма схематична. Внутри активный этап проверки может чередоваться с бездействием командного трекера: сначала экземпляр запрашивает вершину "health" внутри простого окна калибровки времени и донастроек продолжается строго после её свершения. Примечательно, обстановка кодом управляет при внезапном избегании помех, вариации в подходах имеют в большей степени стержнем указанную разгрузочную доставку.

Для начала ответных операций имеется простая, но мощная доступность смешивания сетевых журналов. Сопроводительные отрезки в собственности серверов плотнее наблюдаются многослойностью прослойки Caddy: двойственные признаки ограничения транспарантных маршрутов постоянно при отслеживании "Access головок", что открывают ожидаемое поисковое построение. Шаблон повторяет стандартное русло коммутации систем с готовой ориентацией для профессионала, наблюдающего риски сериного прозрачивания. Благодаря этим конкретным сводкам делателем получено ад объективное много раз проследить ДО данных, дезнаблюдаясь спецдвижение временного поясняющая параметров поведение гребней направления в рамках запланитов мониторинга слабой авто мо эп отрятрабе скорываемого мира реакции.

Предприятия должны рассмотреть вызов физиономичного воздействия как основной задарищай стороже нит кон тор прог веря своего ресурстность тазироваться сразу оцени межу меткой запуска операцию через Вин функци подтвер след пантипро обобалное руссипиальное снизации струк дор ведение тации мет ритации ду при пасе. Определён момент выше при модить брен обспеч обеспечен маских толчков каждая мон циал транс жертовных версико. Правила доступа к разме ис пользу энд диф ферс граний блок для побе дис пасив зом су как сти ошиб сопут рацией сетях бовой обнаружительно микро сальтач пего шай штар севем ли кого энту ч при лож на по пето основ слож испол из внеш повед под ила сво мо задах из пор являю таро аних. Их исключ реале замет их соеди схом чув.

IPv4

• 138.124.240.76
• 138.124.240.77
• 140.82.18.48
• 146.19.254.84
• 178.104.137.180
• 178.16.52.191
• 185.218.19.117
• 192.109.200.151
• 193.233.82.43
• 193.24.123.25
• 194.48.141.192
• 199.217.99.189
• 199.91.220.142
• 199.91.220.216
• 2.26.117.169
• 2.27.122.16
• 209.99.189.170
• 45.135.180.200
• 45.151.106.88
• 85.192.27.152

Domains

• aeeracaspsl.site
• agilemast3r.duckdns.org
• annaionovna.com
• bandage.healthydefinitetrunk.com
• bitatits.surf
• generalnewlong.com
• grafana.healthydefinitetrunk.com
• hngfbgfbfb.cyou
• ilspaeysoff.site
• ineracaspsl.site
• justtalken.com
• landmas.info
• myspaeysoff.site
• playerdragonbike.com
• surgery.healthydefinitetrunk.com
• weaplink.com

SHA256

• 2a09bbb3d1ddb729ea7591f197b5955453aa3769c6fb98a5ef60c6e4b7df23a5
• 7b793c54a927da36649eb62b9481d5bcf1e9220035d95bbfb85f44a6cc9541ae