СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.05.2025
#ИБ#Инфра

Анализ кампании Catena loader: сложный троян с многослойной загрузкой

Анализ кампании Catena loader: сложный троян с многослойной загрузкой

Обнаружена сложная вредоносная кампания с использованием троянских установщиков NSIS и Winos v4.0

Эксперты компании Rapid7 выявили новую многоуровневую вредоносную кампанию, применяющую троянские программы установки на базе NSIS для доставки вредоносного ПО Winos версии 4.0. Эта вредоносная программа работает полностью в памяти, обеспечивая удалённый доступ злоумышленникам и повышая устойчивость к обнаружению традиционными антивирусными системами.

Суть атаки и особенности цепочки заражения

Кампания впервые была зафиксирована в феврале 2025 года в ходе расследования инцидента и получила название Catena loader. Главные характеристики распространяемой вредоносной цепочки включают:

  • Использование встроенного шеллкода;
  • Внедрение отражающих библиотек DLL (sRDI – reflective DLL injection);
  • Многоступенчатый механизм сохранения и повторного запуска вредоносного кода;
  • Создание устойчивого присутствия в системе через запланированные задачи и мониторинг процессов.

Одним из ключевых случаев было обнаружение вредоносного ПО, доставленного через поддельный установщик браузера QQBrowser с названием QQBrowser_Setup_x64.exe. На первый взгляд файл выглядел легитимным, однако при запуске он реализовывал сложную многоступенчатую загрузку вредоносного кода.

Установщик формировал каталог Axialis в директории %APPDATA%, куда помещались следующие компоненты:

  • VBScript-скрипт для запуска — Axialis.vbs;
  • PowerShell-загрузчик — Axialis.ps1;
  • Вредоносная DLL — Axialis.dll;
  • Файлы конфигурации — Config.ini и Config2.ini, содержащие шеллкод и полезную нагрузку.

Ориентация на китайскоязычную среду и скоординированная инфраструктура

Анализ показал, что вредоносная программа активно взаимодействует с C2-серверами, расположенными преимущественно в Гонконге. Вредоносное ПО проверяет языковые настройки системы и выявляет китайский язык, что указывает на его целевую ориентацию. Однако запуск вредоноса происходит вне зависимости от языка ОС, что говорит о возможности масштабирования на широкой географии.

Изучение полезной нагрузки с C2 демонстрирует её идентичные характеристики и взаимосвязь, что подтверждает наличие скоординированной операционной системы злоумышленников.

Методы обхода обнаружения и адаптивность вредоносной кампании

Вредоносное ПО реализует метод внедрения с помощью отражающей DLL-инъекции (sRDI), что позволяет полностью загружать и исполнять код в памяти, избегая записи на диск и минимизируя вероятность обнаружения. Подробнее о тактиках маскировки и поддержания доступа:

  • Создание запланированных задач и мониторинг запущенных процессов для перезапуска вредоноса в случае его завершения;
  • Использование мьютексов для определения активной конфигурации и выбора нужной схемы загрузки;
  • Многоэтапная структура загрузчика с доверенными уровнями, основанными на методах предыдущих кампаний.

Стоит отметить, что наблюдаются и другие варианты Catena loader, маскирующиеся под популярные легитимные программы, такие как LetsVPN и Telegram. Это подтверждает высокую степень гибкости и адаптивности кампании.

Связь с известными группировками

Техника и оперативная тактика вредоносной программы напоминают действия группировки Silver Fox APT, которая также использует мошеннические установщики для распространения вредоносного ПО. Использование многоступенчатых механизмов загрузки и стратегия обхода обнаружения явно указывают на профессиональный уровень исполнения атаки.

Заключение

Кампания Catena loader демонстрирует эволюцию современных угроз, сочетающих скрытность, устойчивость и трудность обнаружения. Комплексный подход со стороны злоумышленников — от использования сложных инсталляторов до применения передовых техник внедрения и постоянного мониторинга — повышает её опасность для корпоративных и частных пользователей, особенно в регионах с китайскоязычной средой.

Экспертам в области кибербезопасности необходимо учитывать новые методы распределения и имплементации памяти, чтобы своевременно выявлять и нейтрализовать подобные угрозы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: