APT-C-20 атакует через VBA-макросы и скрытый shellcode
Группировка APT-C-20 продолжает демонстрировать высокую техническую изощрённость, применяя многоэтапный цикл вторжения, в котором безобидный офисный документ превращается в плацдарм для полного контроля над системой. Новый отчёт раскрывает операционную методологию злоумышленников — от стартового вектора до скрытых каналов управления, использующих легитимный облачный сервис и стеганографию.
Начало вторжения: обманчивый документ и макросы VBA
Атака начинается с распространения вредоносного документа, содержащего макросы VBA. Пользователю демонстрируется искажённый текст, призывающий включить макросы — именно это действие запускает цепочку вредоносных процессов, замаскированных под обычную работу Excel. Сами макросы предварительно зашифрованы, чтобы избежать сигнатурного анализа.
После активации макросы выполняют ряд скрытых действий:
- обнаружение среды выполнения и проверка на присутствие песочниц;
- обратное восстановление внешнего вида документа, чтобы у жертвы не возникло подозрений;
- манипуляция свойствами Shape для сокрытия вредоносного содержимого от инспекции;
- настройка закрепления через подмену COM-объектов.
Закрепление и маскировка: COM-подмена, реестр и explorer.exe
Ключевой механизм закрепления реализован через тонкие манипуляции с реестром и COM-интерфейсами. Вредоносная DLL с именем dnxstore.dll спроектирована так, чтобы запускаться не сама по себе, а через безобидный процесс explorer.exe. Это достигается путём эксплуатации COM-объектов, благодаря чему вредоносный код продолжает выполняться даже после закрытия исходного документа.
dnxstore.dll проявляет повышенную скрытность. Она динамически загружает необходимые системные API, перенаправляя запросы к легитимным модулям, например, stobject.dll. Это не только затрудняет статический анализ, но и повышает отказоустойчивость. Кроме того, DLL предварительно проверяет, исполняется ли она именно в контексте explorer.exe, усиливая маскировку под нормальную активность системы.
Невидимая полезная нагрузка: стеганография LSB и кастомная расшифровка
Главная полезная нагрузка доставляется скрытно — она встроена в PNG-изображение, являющееся частью вредоносного документа. dnxstore.dll извлекает изображение, после чего применяет технику наименее значимого бита (LSB) для выделения закодированного shellcode.
Расшифровка этого shellcode осуществляется с использованием собственной схемы шифрования. Ключ формируется на основе производного ключа AES-256, сгенерированного с помощью PBKDF2 из заранее заданного семени (predefined seed). Процесс позволяет получить метаданные и подготовить к запуску основную программу удалённого управления, написанную на C.
Таким образом, вредоносный документ выступает и транспортом, и контейнером, где embedded payload надёжно спрятан внутри безобидной картинки, а извлечение выполняется алгоритмом, завязанным на системные модули.
Управление через облако: Filen.io как инфраструктура C2
Извлечённая программа удалённого доступа реализует устойчивый канал управления и контроля (C2). В качестве сервера управления используется легитимный облачный сервис хранения Filen.io. Инфраструктура сконфигурирована с несколькими резервными узлами, что гарантирует бесперебойную связь даже при отказе части серверов. Такая архитектура серьёзно усложняет противодействие и блокировку каналов управления.
Тактическая преемственность: почерк APT-C-20
Описанная операция чётко вписывается в исторический профиль группировки. Характерное использование документов с макросами VBA, совмещение методов подмены COM-объектов, точечных модификаций реестра и проверок окружения повторяют устоявшиеся векторы атак APT-C-20.
Применение зашифрованных макросов, доставка полезной нагрузки в зашифрованном и стеганографически скрытом виде, а также отказоустойчивая C2-инфраструктура демонстрируют продвинутые способности к скрытному проникновению. Вся цепочка — от стартового фишингового документа до финального облачного управления — подчёркивает мастерство APT-C-20 в обходе стандартных мер безопасности и долгосрочном удержании контроля над скомпрометированными системами.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



