Эксперты по кибербезопасности из компании Rising обнаружили и проанализировали новую кампанию, связанную с семейством вредоносного ПО "Серебряная лиса" (SilverFox, YinHu). Атака отличается сложной многоступенчатой архитектурой, где начальный загрузчик, маскирующийся под легитимное ПО для работы с билетами, проводит глубокий анализ среды жертвы и лишь затем, основываясь на собранных данных, запрашивает у сервера управления конкретные вредоносные модули для финальной атаки. Такой подход, известный как "доставка по требованию" (on-demand delivery), позволяет злоумышленникам минимизировать следы присутствия в системе, избегать срабатывания сигнатурных правил и фокусировать усилия на наиболее ценных целях.
Описание
Инцидент начался с того, что пользователи сообщили о подозрительном файле, замаскированном под инструмент для работы с билетами под названием "票票-20261647209_工具.exe". Первоначальный образец, размер которого составлял аномально большие 231 МБ (что свидетельствует о намеренном "раздувании" файла для усложнения анализа), выполнял функцию простого загрузчика. При запуске он проверял наличие отладчика, после чего обращался по HTTP к удаленному серверу по IP-адресу 148.178.74[.]60 для скачивания второй, более функциональной полезной нагрузки (payload).
Второй этап атаки представлял собой исполняемый файл "plqwesxccc.exe" размером около 6 МБ, защищенный коммерческим упаковщиком VMProtect для обфускации кода. Его основная задача - тотальная разведка системы и создание детального "профиля" жертвы для оценки её ценности. Процесс сбора информации был структурирован и включал несколько шагов. Сначала вредоносная программа создавала два маркерных файла на дисках D: или E:, один из которых содержал закодированный уникальный идентификатор машины, сгенерированный на основе данных аппаратного обеспечения, версии ОС и имени пользователя.
Затем, как сообщают аналитики, нагрузка загружала из своих ресурсов в память специализированный коммуникационный модуль, написанный на языке Easy Language ("易语言") и основанный на проекте с открытым исходным кодом HP-Socket. Этот модуль использовался для последующего взаимодействия с C2-сервером. Ключевым этапом стала активная разведка окружения безопасности: вредоносное ПО сканировало список процессов, пытаясь обнаружить присутствие одного из шести популярных в регионе антивирусных продуктов, включая 360 Total Security, Huorong, Tencent PC Manager, Kingsoft и 2345 Security Guard.
Одновременно запускались фоновые потоки для постоянного мониторинга активности пользователя. Сбору подлежали заголовки активных окон, время простоя системы, а также наличие специфических процессов, связанных с банковской деятельностью. Вредоносная программа искала упоминания "банка", "интернет-банка", "щита" (вероятно, обозначение USB-токенов) и названий конкретных финансовых организаций. Отдельно проверялся статус запуска настольного клиента мессенджера WeChat, что указывает на интерес к компрометации аккаунтов и потенциальному хищению данных или проведению социальной инженерии.
Вся собранная информация - включая конфигурацию системы, список процессов, данные о защитном ПО, статус WeChat и банковских сервисов - агрегировалась и передавалась на сервер управления по адресу 148.178.74[.]41. Именно на основе этого подробного досье оператор атаки принимал решение о дальнейших действиях. Анализ кода показал, что в ответ C2 мог отправить одну из множества команд (с идентификаторами от 0x5 до 0x3A2), которые инициировали загрузку и выполнение одного из трёх специализированных вредоносных DLL-модулей (ZY, JC или ZM). Функционал этих модулей, судя по именам экспортируемых функций, мог включать операции с файлами (копирование, удаление, архивация), манипуляции с системой (установка автозагрузки, создание задач) и самое главное - симуляцию действий мыши и клавиатуры для автоматизации взаимодействия с интерфейсом.
Эта последняя возможность, реализованная через отдельную библиотеку "DrvInDll.dll", особенно опасна. Она позволяет злоумышленникам программно нажимать кнопки, вводить текст в диалоговые окна (в том числе окно "Выполнить" или "Run"), обходя некоторые традиционные меры защиты, ориентированные на перехват API-вызовов. Такой метод может использоваться для запуска других программ, подтверждения действий пользователя или кража данных через интерфейсный уровень.
Техническая сложность образца не ограничивается модульностью. Для усложнения статического анализа авторы применяли динамическое декодирование строк в памяти с их последующей очисткой, а также технику "файрволла для бедных" (reflective DLL loading) - загрузку исполняемых библиотек напрямую из памяти, минуя запись на диск. Это затрудняет обнаружение средствами, отслеживающими только создание файлов. Обмен данными с C2, согласно коду, также мог осуществляться через ZIP-архивы, что является распространённым методом сокрытия контента.
Данная кампания наглядно демонстрирует эволюцию угроз в сторону большей избирательности и скрытности. Вместо массовой рассылки громоздкого многофункционального трояна, атакующие используют легковесный разведывательный загрузчик. Он действует как "скаут", собирая информацию и передавая её аналитику (C2-серверу). Тот, в свою очередь, принимает тактическое решение и направляет на заражённую машину только те инструменты, которые решат конкретную задачу на этой конкретной системе - будь то кража сессий WeChat, перехват банковских данных или закрепление в системе. Такой подход не только экономит ресурсы злоумышленников, но и существенно снижает вероятность обнаружения, поскольку большая часть вредоносного кода отсутствует в системе до момента необходимости и может не оставлять долговременных следов на диске. Для специалистов по защите это означает, что традиционные методы, основанные на сигнатурах и статическом анализе файлов, становятся менее эффективными, требуя большего внимания к поведенческим аномалиям, анализу сетевого трафика и отслеживанию подозрительной активности в памяти.
Индикаторы компрометации
IPv4
- 148.178.74.41
MD5
- b640f7fbc62f46fc9add24ae99fe66d4
- d479a5686227d2e56c89e8d750b1f786
