Исследователи из Trellix Advanced Research Center обнаружили активную кампанию по распространению вредоносного ПО, использующую уязвимость DLL sideloading в легальной утилите "ahost.exe". Этот компонент является частью открытой библиотеки c-ares для асинхронных DNS-запросов и часто поставляется в составе Git для Windows, включая версии, встроенные в такие инструменты разработчика, как GitKraken или GitHub Desktop. Атака позволяет злоумышленникам обходить традиционные сигнатурные системы защиты.
Описание
В основе кампании лежит эксплуатация доверия к подписанным легальным приложениям. Злоумышленники помещают вредоносную библиотеку "libcares-2.dll" в одну директорию с подписанным файлом "ahost.exe", который они часто переименовывают. Когда жертва запускает, казалось бы, легитимный исполняемый файл, он загружает вредоносную DLL, что приводит к выполнению кода злоумышленников. Этот метод, известный как подгрузка DLL (DLL sideloading), особенно опасен, поскольку маскирует вредоносную активность под действия доверенного ПО.
Кампания в первую очередь нацелена на сотрудников финансовых, закупочных, логистических и административных отделов в коммерческих и промышленных секторах, включая нефтегазовую отрасль и импорт-экспорт. Для приманки используются файлы, замаскированные под бизнес-документы, с локализованными именами на арабском, испанском, португальском, фарси и английском языках. Это указывает на глобальный и целенаправленный характер атак.
Основными полезными нагрузками (payload) в этой кампании являются коммерческие вредоносные программы: похитители информации (информационные стилеры), такие как AgentTesla, FormBook, Lumma Stealer, Vidar и CryptBot, а также трояны удаленного доступа (RAT), включая Remcos, QuasarRAT, DCRat и XWorm. Например, в одной из схем доставки DCRat файл "ahost.exe" был переименован в "1DOC-PDF.exe". После запуска вредоносная DLL внедряет код в процесс "Addinprocess32.exe", обеспечивая постоянство (persistence) и скрывая активность трояна.
Телеметрия показывает, что конкретный экземпляр "ahost.exe", подписанный GitKraken, активно используется несколькими группами злоумышленников. Этот файл был загружен на VirusTotal 190 раз 115 уникальными пользователями, что свидетельствует о широком распространении. Злоумышленники постоянно меняют названия файлов-приманок, используя такие варианты, как "order.exe", "protect.exe" или "Faktura od DHL.exe", что типично для фишинговых атак.
Эксплуатация доверенного ПО представляет серьезный риск для организаций, которые полагаются исключительно на сигнатурные методы защиты и не используют современные решения класса EDR (Endpoint Detection and Response) или XDR (Extended Detection and Response). Успех этой кампании подчеркивает важность реализации многослойной безопасности.
Для эффективного противодействия подобным угрозам эксперты рекомендуют внедрять расширенные решения для защиты конечных точек, способные анализировать поведение процессов. Необходимо применять строгие политики контроля приложений, такие как разрешение запуска только доверенного ПО. Также критически важно проводить регулярное обучение сотрудников по кибергигиене и поддерживать актуальную базу угроз для оперативного обнаружения и реагирования на инциденты.
Индикаторы компрометации
URLs
- http://dgflex.duckdns.org
SHA256
- 0b7660173e0bfe2ff7015014d5c7cc1f27e9e80c330f5553316f5c031b387d15
- 791a7d2710409cf72cf34bd4c29a3ebfe17ad3217d138215c0e03aa3513c8d0e
- 7c41ac7b5bf15e34d50d6abbe28254e94e6c21e0ccab9fa68aca05049a515758
- a7d7965baed40cfd0edbc9d7ef3052dcf20148769b2dfe32d0117dbd762b8a9d
- e533da586b912241cc8c5d4762d78607b50b75cb7070ad839d72f8ee76cb5636
- e7be7413c4cff8595de4cbc9c8621163565afe3e57412e59be3389aef1a18cc5
