СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
08.11.2025
#ИБ#Инфра

Atroposia — модульный RAT MaaS для корпоративных сетей

Atroposia — сложный троян удалённого доступа (RAT), распространяемый по модели «Вредоносное ПО как услуга» (MaaS). Отчёт безопасности описывает его как ориентированное на скрытность и модульность вредоносное ПО, специально нацеленное на корпоративные среды. Базовые характеристики Atroposia делают его серьёзной угрозой для организаций: собственный конструктор сборок, отсутствие внешних зависимостей, встроенные инструменты управления и устойчивые механизмы закрепления.

Ключевые технические особенности

  • Модульность и скрытность: Atroposia использует модульную архитектуру, что позволяет злоумышленникам подгружать необходимые компоненты по мере необходимости и уменьшает «шум» телеметрии.
  • Конструктор сборок: уникальный генератор создаёт собственные исполняемые файлы без внешних зависимостей, что усложняет обнаружение на основе сигнатур и препятствует повторяющемуся хеш-детектированию.
  • Встроенные инструменты: включает скрытую функцию удалённого рабочего стола, локальный сканер уязвимостей, модули кражи учётных данных и механизмы DNS hijacking.
  • Коммуникации: использует зашифрованные каналы командования и контроля (C2), что дополнительно запутывает анализ трафика.
  • Закрепление: реализованы механизмы сохранения контроля над системой после перезагрузки, включая изменения в автозапуске и планировщике задач.

Вектор распространения

По имеющимся данным, злоумышленники, скорее всего, используют традиционные векторы для внедрения Atroposia:

  • фишинговые письма;
  • вредоносная реклама (malvertising);
  • распространение через скомпрометированное программное обеспечение и инсталляторы.

Поведение после проникновения

После успешного запуска Atroposia выполняет локальный аудит системы с помощью встроенного сканера уязвимостей, чтобы определить оптимальные пути повышения привилегий и латерального перемещения по сети. Скрытая функция удалённого рабочего стола обеспечивает злоумышленникам возможность интерактивного управления заражённым хостом без оповещения законного пользователя. Такая комбинация позволяет атакующим оставаться незамеченными в течение длительного времени и целенаправленно эксплуатировать обнаруженные слабые места.

Тактики уклонения и устойчивость к детектированию

Atroposia применяет несколько приёмов, направленных на минимизацию обнаружения:

  • генерация уникальных сборок, препятствующая стабильному хеш-детектированию;
  • отсутствие внешних компонентов, уменьшающее телеметрический след;
  • использование шифрования для C2-коммуникаций;
  • механизмы закрепления, сохраняющие присутствие после перезагрузки.

Оценка угрозы

Исследователи безопасности присвоили Atroposia оценку угрозы — 7,3 балла.

Эта оценка отражает высокий уровень риска, обусловленный сочетанием скрытности, возможностей закрепления и функционала для кражи учётных данных и подмены DNS. Эксплуатационная адаптируемость после заражения делает Atroposia особенно опасной для корпоративных сетей с недостаточно жёсткими политиками контроля выполнения кода и DNS-настройками.

Рекомендации по снижению риска

Чтобы снизить вероятность успешной компрометации и ограничить влияние Atroposia, организациям рекомендуется внедрить комплекс мер:

  • усилить контроль приложений (application control) и запрет выполнения неподписанных или неизвестных бинарников;
  • внедрить EDR/антивирус с поведением-анализом для обнаружения нетипичных процессов и скрытого RDP;
  • жёстко настроить политики DNS на конечных точках и мониторить локальные изменения конфигурации DNS;
  • отслеживать и расследовать необычные процессы, сетевые соединения и расхождения в поведении рабочих столов;
  • периодически выполнять аудит уязвимостей и оперативно закрывать обнаруженные дыры, которые может использовать сканер Atroposia;
  • внедрить сегментацию сети и минимальные привилегии для учётных записей, чтобы ограничить латеральное перемещение.

Рекомендации по реагированию на инциденты и криминалистике

  • выполнить тщательную проверку механизмов закрепления: автозапусков, планировщика задач, ключей реестра и служб;
  • идентифицировать все скомпрометированные хосты и изолировать их от сети;
  • произвести сбор и анализ артефактов для восстановления цепочки компрометации и выявления источника заражения;
  • оценить вероятность кражи данных и масштаб утечки учётных записей;
  • при необходимости выполнить принудительную смену паролей и пересмотреть настройки DNS для всех затронутых систем.

Вывод

Atroposia представляет собой тревожную эволюцию семейств RAT: сочетание модульности, конструкторов сборок без зависимостей, скрытого удалённого рабочего стола и механизмов закрепления повышает её опасность для корпоративных сетей. Для противостояния этой угрозе организациям необходима проактивная стратегия безопасности, ориентированная на концевые точки, строгий контроль выполнения кода, мониторинг аномалий и жёсткие DNS-политики.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: