СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
11.09.2025
#Dev#ИБ#Инфра

AsyncRAT: безфайловый троян удалённого доступа через ScreenConnect

AsyncRAT: безфайловый троян удалённого доступа через ScreenConnect

Новый разбор показал, что AsyncRAT — сложный троян удалённого доступа (RAT) — всё чаще использует методы *безфайлового* выполнения, чтобы ускользать от традиционных средств защиты. Атака началась с компрометации легитимного клиента ScreenConnect и продолжилась цепочкой ин-мемори загрузок и модульного исполнения, что затруднило обнаружение и расследование инцидента.

Краткое содержание инцидента

«Атака началась с выполнения VBScript (Update.vbs), который запустил команду PowerShell для загрузки двух внешних полезных файлов — logs.ldk и logs.ldr — с удалённого сервера».

Ключевые факты:

  • Исходная точка компрометации — скомпрометированный клиент ScreenConnect, связанный с вредоносным доменом relay.shipperzone.online.
  • Первый этап — выполнение Update.vbs, который через PowerShell скачал файлы logs.ldk и logs.ldr и загрузил их в память (C:UsersPublic как рабочая директория для сохранения перед загрузкой в память).
  • Вредоносная цепочка работала преимущественно в оперативной памяти, минимизируя следы на диске (тактика «fileless malware»).

Техника выполнения и ключевые компоненты

После загрузки в память была выполнена сборка .NET под именем Obfuscator.dll, выступающая как «загрузчик» и средство обхода защит. Эта сборка реализует несколько тактик уклонения и инициирует основной функционал вредоносной нагрузки.

Следующий этап — запуск основного бинарника AsyncClient.exe, который выполняет роли C2‑агента и модуля управления. Его архитектура направлена на скрытность и модульность: AsyncClient обеспечивает разведку системы, управление сетевыми соединениями и передачу команд через специализированные ping‑протоколы.

Внутри Obfuscator.dll и AsyncClient.exe аналитики выделили три ключевых класса/модуля, обеспечивающие:

  • инициализацию и выгрузку полезных модулей в память;
  • уклонение от обнаружения (обфускация, анти‑анализные техники);
  • реализацию C2‑функциональности и выполнения удалённых команд.

Что делает AsyncRAT: основные возможности

  • Динамическая загрузка полезных модулей в память без постоянных артефактов на диске.
  • Сбор конфиденциальной информации: учётные данные пользователей, артефакты браузеров и иные системные данные.
  • Постоянное скрытое подключение к C2 через модуль AsyncClient, поддерживающее двустороннюю передачу команд и данных.
  • Модульность — злоумышленники могут расширять функционал, загружая дополнительные payload’ы на этапе выполнения.

Индикаторы компрометации (IOCs) — на что обратить внимание

  • Домен: relay.shipperzone.online
  • Файлы/процессы: Update.vbs, logs.ldk, logs.ldr, Obfuscator.dll, AsyncClient.exe
  • Нестандартная активация PowerShell из контекстов ScreenConnect или пользователей без явного административного сценария
  • Необычная активность в памяти процессов (.NET‑загрузчики, динамические сборки)

Риски и последствия

Компрометация через легитимный инструмент удалённого доступа (ScreenConnect) повышает риск широкого перемещения злоумышленников внутри сети и получения прав доступа к критичным ресурсам. Благодаря безфайловой модели исполнения традиционные антивирусы, ориентированные на сигнатуры файлов, оказываются менее эффективными. Утечка учётных данных и артефактов браузера может привести к дальнейшим атакам и эскалации привилегий.

Рекомендации по защите и обнаружению

Для противодействия таким инцидентам аналитики и администраторы должны применять многоуровневый подход:

  • Ограничить доступ к инструментам удалённого администрирования (ScreenConnect) и обеспечить строгую аутентификацию и логирование с отдельной сегментацией сети.
  • Внедрять EDR с возможностью мониторинга поведения и анализа активности в памяти (memory forensics, dynamic analysis).
  • Блокировать и мониторить подозрительные домены и сетевые соединения (DNS/Proxy‑фильтрация, IDS/IPS).
  • Ограничить исполнение PowerShell-скриптов, применять политики ConstrainedLanguage и включать AMSI, где возможно.
  • Регулярно обновлять и проверять целостность сторонних инструментов управления доступом; использовать MDM/patch‑management для их защиты.
  • Разработать сигнатуры на основе поведения (behavior‑based detection) для выявления загрузчиков в памяти и аномалий в сетевом трафике (ping‑протоколы, необычные C2‑пулы).
  • Ротация и защита учётных данных, использование MFA для критичных сервисов, мониторинг утечек учётных записей.

Вывод

Исследование демонстрирует рост угроз со стороны безфайловых RAT, таких как AsyncRAT, и указывает на необходимость эволюции методов защиты: от простых сигнатурных решений к поведенческому мониторингу, защите памяти и сетевому контролю. Особенно опасны кампании, начинающиеся с компрометации легитимных инструментов (например, ScreenConnect) — такие векторы требуют как технических, так и организационных мер для минимизации рисков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: