Asyncrat: новая вредоносная кампания с использованием Aruba Drive

Итальянский CERT-Agid опубликовал отчет о недавней кампании распространения вредоносного ПО, в ходе которой злоумышленники использовали сложный механизм заражения и внедрили троян удаленного доступа (RAT) Asyncrat. Новые данные раскрывают методы доставки и эксплуатации вредоносного кода, а также шаги, предпринятые для локализации и нейтрализации угрозы.

Механизм распространения вредоноса

Для компрометации систем жертв злоумышленники применяли вредоносную программу Asyncrat, которую распространяли через архив TAR. Внутри архива находился JavaScript-файл, замаскированный и предназначенный для выполнения команды PowerShell. Основные этапы атаки включают:

• Запуск PowerShell-скрипта, который загружает вредоносный ресурс с платформы Aruba Drive — облачного сервиса хранения данных, действующего по аналогии с Google Drive и Dropbox;
• Декодирование загруженного PowerShell-кода с выявлением DLL (библиотеки динамических ссылок), которая вызывается с параметрами, среди которых — перевёрнутый URL, заданный переменной $gangbuster;
• Проверка хост-машины библиотекой DLL на наличие признаков запуска в виртуальной среде или других условий, препятствующих исполнению;
• При удовлетворении условий выполнение последующей загрузки и развертывание трояна Asyncrat.

Особенности трояна Asyncrat и его возможности

Asyncrat классифицируется как RAT — троян для удалённого доступа, позволяющий злоумышленникам:

• Получать несанкционированный удаленный доступ к уязвимым системам;
• Отслеживать и контролировать взломанные компьютеры;
• Выполнять произвольные команды на заражённых машинах;
• Красть конфиденциальные данные.

Анализ угроз показывает, что ранее Asyncrat распространялся вместе с рядом других вредоносных семейств, таких как Remcos, Formbooks, Avemaria и Maslogger. Это свидетельствует о наличии общей методики или тенденции, применяемой авторами данных программ.

Меры противодействия и коллективная защита

В ответ на выявленную угрозу компания Aruba оперативно взаимодействовала с CERT-Agid и другими заинтересованными сторонами для удаления вредоносного ресурса с платформы Aruba Drive, что позволило локализовать раздачу вредоносного ПО.

Кроме того, индикаторы компрометации (IOCs), связанные с кампанией, были распространены через официальный канал IoC CERT-Agid среди аккредитованных организаций. Это повысило уровень коллективной кибербезопасности и позволило экспертам заблаговременно выявлять и блокировать заражения.

Таким образом, выявленная кампания демонстрирует высокий уровень технической подготовки злоумышленников и подчеркивает важность международного сотрудничества и обмена информацией для защиты инфраструктуры от современных APT и RAT-угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.