СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
08.11.2025
#Dev#ИБ#Инфра

ChaosBot: Rust-троянец для бэкдора и DLL sideloading

В сентябре 2025 года исследователи зафиксировали опасный троянец для удалённого доступа под названием ChaosBot, связанный с актором, обозначенным как chaos_00019 (вторичный дескриптор — lovebb0024). Первые инциденты обнаружены в организациях из сферы финансовых услуг; анализ показал высокую степень скрытности и широкий набор тактик для получения и удержания доступа.

Ключевые характеристики угрозы

  • Тип вредоносного ПО: сложный бэкдор / Remote Access Trojan, реализованный на Rust.
  • Первичное обнаружение: сентябрь 2025 — финансовый сектор.
  • Актор: chaos_00019 (lovebb0024).
  • Используемые каналы C2: быстрый обратный прокси FRP и Discord API — двойная инфраструктура усложняет обнаружение и блокировку.

Методы проникновения и закрепления

Акторы применяют сочетание проверенных и скрытных техник для доступа к инфраструктуре и поддержания устойчивого присутствия:

  • Злоупотребление действительными учетными записями (T1078). Для доступа использовались скомпрометированные учётные данные Cisco VPN и Active Directory.
  • Фишинг — доставка полезной нагрузки PowerShell, маскируемой под банковский документ.
  • Перемещение внутри сети с помощью Windows Management Instrumentation (WMI).
  • DLL sideloading (T1574.001) с использованием легитимного исполняемого файла для запуска вредоносной библиотеки:
    • запуск identity_helper.exe (помощник Microsoft Edge) для загрузки вредоносной библиотеки msedge_elf.dll;
    • DLL размещена в общем, менее контролируемом каталоге C:UsersPublicLibraries, что снижает вероятность поднятия тревоги у средств защиты.
  • Подавление телеметрии с помощью механизмов типа Event Tracing for Windows (ETW), чтобы уменьшить видимость активности.

TTPs, заслуживающие внимания

Набор подтверждённых TTP включает:

  • Abuse of valid accounts: T1078 — широкое использование легитимных учетных записей.
  • DLL Sideloading: T1574.001 — скрытый запуск вредоносных библиотек через легитимные бинарники.
  • Suppression of telemetry: ETW — снижение видимости событий в Windows.

«ChaosBot сочетает в себе эксплуатацию легитимных учетных записей и продвинутые техники скрытного запуска, включая DLL sideloading и двойные каналы C2 (FRP + Discord API), что делает его особенно опасным для организаций с избыточными привилегиями.»

Почему это работает

Успех атак частично объясняется организационными пробелами: отсутствие строгого принципа наименьших привилегий, слабая сегментация сети и неунифицированная защита конечных точек. Зависимость злоумышленника от уже скомпрометированных учётных записей и аккаунтов с избыточными правами ускоряет распространение и повышает потенциальный урон.

Рекомендации по защите и реагированию

Практические меры по снижению риска и обнаружению ChaosBot:

  • Внедрить и жестко требовать MFA для всех удалённых доступов и привилегированных аккаунтов (включая VPN и AD).
  • Блокировать доступ к известным вредоносным адресам и доменам для FRP/Discord C2, при наличии — использовать прокси/Firewall для фильтрации трафика.
  • Мониторить сетевые сессии: обращать внимание на подозрительно долгоживущие TCP-сеансы, особенно на порту 7000.
  • Усилить безопасность конечных точек: выполнить сканирование на наличие бэкдор-файлов, ограничить исполнение ненужного ПО и внедрить EDR с возможностями поведенческого анализа.
  • Ограничить возможности DLL sideloading: реализовать контроль приложений и ограничить пути, доступные для записи пользователями (включая C:UsersPublicLibraries).
  • Своевременное исправление уязвимостей: приоритетно обновить и патчить сетевые устройства, особенно Cisco ASA и FTD.
  • Логирование и корреляция: обеспечить централизованный сбор логов, мониторинг попыток обхода ETW и корреляцию событий для быстрого обнаружения аномалий.

Выводы и значение для бизнеса

ChaosBot демонстрирует сочетание технической изощрённости и использования традиционных человеческих слабостей (фишинг, компрометация учётных записей). Для финансовых организаций и других критичных инфраструктур это прямой вызов: без строгой аутентификации, контроля привилегий и надёжной защиты конечных точек атаки такого рода могут привести к длительной компрометации и значительным убыткам.

Ключевые приоритеты — внедрение MFA, ограничение прав и путей записи, усиление EDR и своевременное исправление сетевого оборудования. Эти меры существенно снизят вероятность успешного применения тактик, использованных в кампании ChaosBot.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: