Анализ угрозы: скрипт PowerShell и инфраструктура Cobalt Strike

В июне 2025 года было проведено расследование подозрительного PowerShell-скрипта y1.ps1, размещённого на сервере в Китае. Анализ показал, что данный скрипт выступает в роли загрузчика шеллкода, использующего методы выполнения в памяти (in-memory execution) для обхода систем обнаружения. Это расследование было инициировано в ходе рутинного мониторинга угроз и позволило раскрыть несколько важных деталей, связанных с тактиками злоумышленников и их инфраструктурой.

Механизм работы скрипта и загрузки шеллкода

Исследуемый PowerShell-скрипт применяет ряд сложных приёмов для выполнения вредоносного кода, среди которых:

• использование методов отражения (reflective loading) для выполнения шеллкода;
• динамическое разрешение функций Windows API посредством хеширования имен функций, что затрудняет статический анализ;
• расшифровка встроенной полезной нагрузки, предназначенной для дальнейшей доставки дополнительных модулей;
• обход блока среды процесса (Process Environment Block, PEB) для поиска необходимых библиотек Windows DLL;
• использование поддельных строк User-Agent в HTTP-запросах для повышения скрытности.

_Основная цель этого механизма — осуществить бесшовную загрузку шеллкода напрямую в память, минуя традиционные методы загрузки, что значительно усложняет обнаружение и анализ вредоносной активности._

Инфраструктура C2 и связь с Cobalt Strike

В ходе эксплуатации скрипт установил соединение с сервером второго уровня управления (C2), размещённым на Baidu Cloud Function Compute. Сервер использовался для доставки и управления вредоносной нагрузкой. Расшифрованный шелл-код инициировал подключение к y2n273y10j.cfc-execute.bj.baidubce.com с помощью отражённой загрузки DLL.

Дальнейшее расследование выявило, что маяк Cobalt Strike связан с другим IP-адресом — 46.173.27.142, который принадлежит российской компании ООО «Бегет». Это подтверждают данные SSL-сертификата, где в поле темы (Subject) указан «Крупная забастовка Cobalt», а эмитентом выступает «cobaltstrike».

Поздние операции с указанным IP свидетельствуют о его активном использовании в краткосрочных и срочных кампаниях, связанных с финансовыми мотивами. Таким образом, обнаруженный скрипт представляет часть сложной и многоуровневой инфраструктуры угрозы.

Рекомендации по безопасности

Полученные результаты подчёркивают необходимость усиления мер безопасности в отношении PowerShell и мониторинга сетевого трафика. В частности рекомендуется:

• ограничить выполнение неподписанных PowerShell-скриптов;
• внедрить строгий аудит и ведение журналов для выявления подозрительных действий;
• контролировать и блокировать известные IP-адреса C2;
• мониторить SSL-сертификаты, связанные с известными индикаторами угроз;
• применять современные решения для обнаружения и реагирования на угрозы (EDR) на конечных точках;
• обращать внимание на необычные паттерны исходящего трафика, особенно при использовании сложных методов обхода.

В итоге, _комплексный подход к мониторингу и защите позволит значительно снизить риск успешных атак, основанных на подобных сценариях_, и повысит общую устойчивость корпоративной инфраструктуры к современным угрозам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.