Злоумышленники превратили сервис Azure Trusted Signing в конвейер для легальной подписи вредоносных программ

Платформа FUD Crypt, размещённая на домене fudcrypt[.]net, позиционировала себя как сервис для создания "полностью необнаруживаемого" (FUD) вредоносного ПО. За ежемесячную плату от 800 до 2000 долларов подписчики могли загрузить любой исполняемый файл Windows и получить полиморфный многоэтапный пакет для развёртывания. Ключевой особенностью сервиса являлась интеграция с Azure Trusted Signing. Операторы платформы зарегистрировали несколько учётных записей в сервисе Microsoft, прошли верификацию личности и использовали официальный API для подписи скомпилированных вредоносных нагрузок. В результате цепочка сертификатов подписанного файла выглядела абсолютно легитимной: корневой центр сертификации Microsoft Identity Verification Root CA, промежуточный центр Microsoft ID Verified CS AOC CA 01 и, наконец, сам вредоносный файл.

Технический анализ инфраструктуры платформы, проведённый экспертами, показал, что её бэкенд был развёрнут на виртуальном частном сервере и состоял из набора контейнеров Docker. Примечательно, что критические компоненты, такие как база данных PostgreSQL, кэш Redis и объектное хранилище MinIO, были сконфигурированы с привязкой к адресу 0.0.0.0, сделав всю преступную инфраструктуру доступной из интернета. Учётные данные ко всем этим сервисам хранились в едином конфигурационном файле на том же хосте, что является грубейшей ошибкой операционной безопасности (OPSEC). За 38 дней наблюдений в системе было зарегистрировано 200 пользователей, создано 334 сборки и отдано 2093 команды управляемым машинам.

Основной вектор атаки, генерируемый платформой, основан на технике side-loading (подмены библиотек). Вредоносная нагрузка внедряется через DLL-библиотеку, которая загружается легитимным, часто подписанным, исполняемым файлом-носителем. Платформа предлагала 20 различных профилей таких носителей, включая клиенты Zoom, ProtonVPN, CCleaner, OneDrive и даже обёртку для Windows Defender. Последний случай особенно показателен: вредоносный код выполнялся внутри процесса WindowsDF.exe, который в диспетчере задач отображался как компонент Защитника Windows, загружающий собственную библиотеку mpclient.dll. Это создавало мощный камуфляж.

Как сообщают исследователи, после успешной загрузки вредоносная библиотека запускала многоуровневый стек обхода защиты. В первую очередь отключались механизмы AMSI (Antimalware Scan Interface) с помощью двух независимых методов: прямого патча памяти функции AmsiScanBuffer и установки аппаратной точки останова через векторный обработчик исключений (VEH). Затем одним байтом (0xC3, инструкция ret) глушился механизм ETW (Event Tracing for Windows), что лишало системы защиты возможности логировать действия процесса. Для обхода контроля учётных записей (UAC) без вывода диалогового окна использовалась уязвимость в COM-объекте CMSTPLUA, а для повышения привилегий применялась техника маскировки PEB (Process Environment Block), подменяющая путь к процессу на C:\Windows\explorer.exe.

Каждая сборка на платформе была криптографически уникальна благодаря трёхслойному полиморфному шифрованию: XOR, RC4 и кастомный блочный шифр со случайной S-бокс. Это делало обнаружение по хеш-суммам структурно невозможным. Полезная нагрузка доставлялась через Dropbox, а затем выполнялась в памяти без записи на диск, либо через рефлексивную загрузку PE-файла, либо через хостинг среды CLR для .NET-сборок. Для планов уровня Enterprise дополнительно предусматривалось отключение Защитника Windows через манипуляции с групповыми политиками и установка автозапуска через запись в реестр или планировщик заданий.

Отдельного внимания заслуживает следующее поколение конструктора вредоносного ПО (v6.0), находившееся в разработке. Оно было ориентировано на прямой обход систем EDR и включало такие техники, как косвенные системные вызовы (Hell's Gate / Halo's Gate) для обхода пользовательских хуков, "замещение" модулей (module stomping) для сокрытия исполняемой памяти в разделах легитимных DLL, выполнение кода через волокна (fibers) или Win32-коллбэки, а также обфускация периодов бездействия по методу Ekko. Шифрование было улучшено до AES-256-CBC с использованием криптографического API Windows BCrypt.

Последствия такого злоупотребления доверенными сервисами подписи серьёзны. Легитимная подпись Microsoft резко снижает уровень подозрений как со стороны встроенных средств защиты ОС, так и со стороны конечных пользователей или системных администраторов при ручной проверке. Это усложняет расследование инцидентов и позволяет вредоносному ПО дольше оставаться незамеченным в корпоративных сетях. Обнаружение четырёх скомпрометированных или злонамеренно созданных учётных записей Azure за шесть недель указывает на систематический, а не единичный характер злоупотреблений. Данные о платформе и активных учётных записях были переданы в центр безопасности Microsoft (MSRC) для отзыва сертификатов и блокировки злоумышленников. Этот инцидент демонстрирует необходимость более строгой верификации и мониторинга со стороны вендоров облачных сервисов, особенно тех, что связаны с инфраструктурой доверия, чтобы предотвратить их превращение в инструмент в руках киберпреступников.

IPv4

• 144.172.100.193
• 144.172.108.142
• 144.172.112.13
• 144.172.99.122
• 157.173.112.182
• 172.86.91.29
• 179.43.176.32
• 198.37.119.56
• 45.61.149.68

Domains

• catbox.moe
• content.dropboxusercontent.com
• dl.admin334577joagj13.com
• fudcrypt.net
• mstelemetrycloud.com

WebSockets Secure

• wss://mstelemetrycloud.com/agent

SHA256

• 5e401e6acce66f5010cca2b1cb4ac05c7a927df03aa021178e012af12639a041
• 766d884d44b72629336e158a267fbb3f56103c7e739314061b9ecd4b7c68c091
• 936eedf75cb2d53d90dfd3c5f7faab94f63901a06df96d6c483b9d4d6c7613bc
• a76cde194a75c015813ff92a2e2ad809b0be10b72b0ec1209d14187b3434ad62
• b25e8a0b84e5bd7b5cc6dc480d2df8a6f942688c6c7760604e35bf8f1e05e328
• b6295e8616de387ab9ad8148054eb2207b4e3ce26ac1fc73eddacf81008cd7ac
• eaa9dc1c9dc8620549fee54d81399488292349d2c8767b58b7d0396564fb43e7