APT-C-20 атакует через VBA-макросы и скрытый shellcode

Группировка APT-C-20 продолжает демонстрировать высокую техническую изощрённость, применяя многоэтапный цикл вторжения, в котором безобидный офисный документ превращается в плацдарм для полного контроля над системой. Новый отчёт раскрывает операционную методологию злоумышленников — от стартового вектора до скрытых каналов управления, использующих легитимный облачный сервис и стеганографию.

Начало вторжения: обманчивый документ и макросы VBA

Атака начинается с распространения вредоносного документа, содержащего макросы VBA. Пользователю демонстрируется искажённый текст, призывающий включить макросы — именно это действие запускает цепочку вредоносных процессов, замаскированных под обычную работу Excel. Сами макросы предварительно зашифрованы, чтобы избежать сигнатурного анализа.

После активации макросы выполняют ряд скрытых действий:

  • обнаружение среды выполнения и проверка на присутствие песочниц;
  • обратное восстановление внешнего вида документа, чтобы у жертвы не возникло подозрений;
  • манипуляция свойствами Shape для сокрытия вредоносного содержимого от инспекции;
  • настройка закрепления через подмену COM-объектов.

Закрепление и маскировка: COM-подмена, реестр и explorer.exe

Ключевой механизм закрепления реализован через тонкие манипуляции с реестром и COM-интерфейсами. Вредоносная DLL с именем dnxstore.dll спроектирована так, чтобы запускаться не сама по себе, а через безобидный процесс explorer.exe. Это достигается путём эксплуатации COM-объектов, благодаря чему вредоносный код продолжает выполняться даже после закрытия исходного документа.

dnxstore.dll проявляет повышенную скрытность. Она динамически загружает необходимые системные API, перенаправляя запросы к легитимным модулям, например, stobject.dll. Это не только затрудняет статический анализ, но и повышает отказоустойчивость. Кроме того, DLL предварительно проверяет, исполняется ли она именно в контексте explorer.exe, усиливая маскировку под нормальную активность системы.

Невидимая полезная нагрузка: стеганография LSB и кастомная расшифровка

Главная полезная нагрузка доставляется скрытно — она встроена в PNG-изображение, являющееся частью вредоносного документа. dnxstore.dll извлекает изображение, после чего применяет технику наименее значимого бита (LSB) для выделения закодированного shellcode.

Расшифровка этого shellcode осуществляется с использованием собственной схемы шифрования. Ключ формируется на основе производного ключа AES-256, сгенерированного с помощью PBKDF2 из заранее заданного семени (predefined seed). Процесс позволяет получить метаданные и подготовить к запуску основную программу удалённого управления, написанную на C.

Таким образом, вредоносный документ выступает и транспортом, и контейнером, где embedded payload надёжно спрятан внутри безобидной картинки, а извлечение выполняется алгоритмом, завязанным на системные модули.

Управление через облако: Filen.io как инфраструктура C2

Извлечённая программа удалённого доступа реализует устойчивый канал управления и контроля (C2). В качестве сервера управления используется легитимный облачный сервис хранения Filen.io. Инфраструктура сконфигурирована с несколькими резервными узлами, что гарантирует бесперебойную связь даже при отказе части серверов. Такая архитектура серьёзно усложняет противодействие и блокировку каналов управления.

Тактическая преемственность: почерк APT-C-20

Описанная операция чётко вписывается в исторический профиль группировки. Характерное использование документов с макросами VBA, совмещение методов подмены COM-объектов, точечных модификаций реестра и проверок окружения повторяют устоявшиеся векторы атак APT-C-20.

Применение зашифрованных макросов, доставка полезной нагрузки в зашифрованном и стеганографически скрытом виде, а также отказоустойчивая C2-инфраструктура демонстрируют продвинутые способности к скрытному проникновению. Вся цепочка — от стартового фишингового документа до финального облачного управления — подчёркивает мастерство APT-C-20 в обходе стандартных мер безопасности и долгосрочном удержании контроля над скомпрометированными системами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: