Гарда обнаружила кибератаку с использованием техник группировки APT41

Эксперты "Гарда" нашли новые инструменты вредоносного ПО Winos 4.0*, которые, предположительно, применяет группировка SilverFox. Злоумышленники используют методы другой группы: связь с командным сервером устанавливается по протоколу, который исследователи раньше наблюдали у группировки APT41 (Winnti). Киберпреступники усложняют поведение ПО в зараженной сети и на атакованных компьютерах, чтобы избежать обнаружения по сигнатурам.

Winos 4.0 - инструмент для шпионажа, удаленного контроля и атак на пользователей. Это вредоносное ПО (ВПО) распространяется через целевые фишинговые рассылки: поддельные счета, письма от скомпрометированных отправителей и QR-коды, ведущие на фишинговые ресурсы. Атакующие используют привычные приемы социальной инженерии ‒ маскировку отправителя, подмену ссылок и типов файлов, архивацию вложений и имитацию доверенных брендов. Элементы кампании (активация адаптеров с китайскими именами, упоминание UI на китайском и QR-атаки) указывают на расположение целей атак в азиатском регионе.

Первичный модуль атаки ‒ WinRAR SFX. Полезная нагрузка (payload) вредоносного ПО содержится в самораспаковывающемся RAR-архиве (WinRAR SFX), который выступает дроппером (dropper ‒ вредоносная программа для доставки и развертывания следующего атакующего модуля). Закрепление в системе производится через планировщик задач. Каждый раз, когда пользователь осуществляет вход (AtLogOn), планировщик задачи выполняет скрипт, который запускает полезную нагрузку дроппера. Функция полезной нагрузки ‒ обратится на командный сервер злоумышленников (C&C) с основным модулем и с помощью шелл-кода (shellcode, фрагмента машинного кода) скачать, расшифровать и передать управление основному модулю ВПО.

В последующем цепочка активации вредоносного ПО повторяется и выглядит следующим образом:

1. Пользователь осуществляет вход в систему;
2. Планировщик активирует задание по триггеру (AtLogOn);
3. Запускается полезная нагрузка, загружается основной модуль;
4. Регистрация жертвы на C&C, получение дополнительных настроек и адреса резервного сервера;
5. Получение команд злоумышленников, дальнейшее развитие атаки.

Трафик между вредоносными программами и сервером хакеров маскируется модификацией нестандартного протокола поверх TCP с шифрованием сообщений, что затрудняет его анализ и блокировку. Наряду с этим, впервые в Winos 4.0, для связи с командным центром выявлен протокол KCP (протокол с высокой скоростью передачи и меньшей задержкой) поверх UDP. Исследователи находили протокол KCP у бэкдоров Crosswalk группировки APT41 (Winnti) еще с 2020 года, но в инструменте Winos 4.0 видят его впервые.

Кроме того, чтобы скрыть исполнение вредоносного ПО в атакованной системе, используется загрузка кода прямо в память процесса, без сохранения библиотеки на диске. Также применяются техники сокрытия (обфускация) строк кода и импортов.

Совокупность методов и инструментов позволяет предположить, что атакующие относятся к APT-группировке SilverFox.

"Новая атака Winos 4.0 демонстрирует продуманную многоступенчатую схему: социальная инженерия для входа, упаковка и этапный дроппинг, укрепление присутствия через скрипты и задания, а также попытки скрыть свое поведение в атакуемой сети и процессах. Злоумышленники постоянно модифицируют свой не публичный инструментарий удаленного доступа для скрытного нахождения в инфраструктуре, такие действия представляют реальную угрозу корпоративному сектору", ‒ комментирует Евгения Устинова, старший аналитик сетевой безопасности группы компаний "Гарда".

"Гарда NDR" успешно детектирует эту угрозу.

*Winos 4.0 (другое название – ValleyRAT) ‒ это вредоносный комплекс с модульной архитектурой, который используется, преимущественно, в кибератаках на китайских пользователей. Он способен проводить DDoS-атаки, управлять файлами, веб-камерой, делать скриншоты, записывать звук с микрофона, записывать нажатия клавиш и предоставлять удаленный доступ к зараженной системе. Особенность Winos 4.0 ‒ система плагинов из 23 компонентов для Windows, а также возможности добавления внешних плагинов злоумышленниками.