Анализ атаки AsyncRAT с запутанным PowerShell на немецкоговорящих

Кампания с использованием AsyncRAT: новый уровень скрытности и сложных техник атак

Недавно специалисты по кибербезопасности выявили новую кампанию, в которой применяется файловый вариант AsyncRAT, реализованный через запутанный PowerShell скрипт. Особенностью атаки является её фокус на немецкоязычных пользователях, что подтверждается языком поддельного приглашения для подтверждения, предназначенного убедить жертву выполнить вредоносную команду.

Основные механизмы атаки

Злоумышленники используют легитимные системные утилиты и хитроумные приемы для обеспечения скрытности и устойчивости вредоносной программы:

• Выполнение с помощью PowerShell с флагами -w hidden (скрытие окна), -nop (отключение загрузки пользовательских профилей) и -c (непосредственное выполнение команд).
• Обфускация кода через вызов conhost.exe, что усложняет анализ и обнаружение.
• Компиляция полезной нагрузки в памяти методом compilation after delivery (TTP: T1127.001) с помощью функции PowerShell Add-Type.
• Использование легальных загрузчиков на основе C#, реализующих обратный класс для создания TCP-бэкдора.
• Подписанный двоичный прокси-сервер, задействующий rundll32 для дальнейшего исполнения вредоносного кода.

Поддержка скрытности и устойчивости

Для обхода систем безопасности и обеспечения постоянного присутствия на зараженной системе злоумышленники реализуют следующие техники:

• Изменение ключей реестра HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce — это позволяет выполнить вредоносный скрипт при следующем запуске системы без необходимости повышенных прав и обходя контроль учетных записей пользователей (UAC).
• Установка соединения с сервером удалённого управления (C2) через нестандартный порт 4444, обеспечивающий долгосрочный контроль (TTP: T1571).
• Выполнение всех операций в памяти без записи файлов на диск, что значительно усложняет обнаружение.

Функциональные возможности AsyncRAT в рамках кампании

AsyncRAT предоставляет злоумышленникам широкий спектр инструментов для эксплуатации скомпрометированных систем, включая:

• Кейлоггинг и сбор учетных данных, в том числе из браузеров.
• Удалённое выполнение команд и управление процессами.
• Перенаправление ввода-вывода между заражённой машиной и сервером C2 через TCP-сокет.

Все эти возможности реализуются с сохранением высокой степени скрытности благодаря применению техник выполнения в памяти и сложных коммуникационных каналов.

Рекомендации по выявлению и предотвращению атак

Для эффективной защиты от подобных угроз эксперты рекомендуют:

• Мониторинг активности PowerShell, особенно нестандартных параметров и сценариев.
• Отслеживание изменений в критически важных ветках реестра, таких как RunOnce.
• Использование сканирования памяти для своевременного выявления полезных нагрузок, работающих без записи на диск.
• Повышение осведомленности пользователей о возможных фишинговых сообщениях, в частности на немецком языке, которые могут служить входными точками атаки.

Современные кампании с AsyncRAT демонстрируют эволюцию вредоносного ПО, применяющего продвинутые методы, направленные на обход традиционных систем защиты и максимальное скрытие своей деятельности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.