Cloaked Shadow: ReverseSocks5, DNS‑туннели и скрытые бэкдоры

Cloaked Shadow: ReverseSocks5, DNSтуннели и скрытые бэкдоры

Источник: habr.com

Группа Cloaked Shadow, идентифицированная исследователями как часть Shadow Alliance, действует как минимум с 2023 года и преимущественно нацелена на российские компании. Отчёт демонстрирует сложный набор инструментов и тактик, ориентированных на создание внутренних сетевых туннелей и долговременное присутствие в инфраструктурах жертв.

Краткие факты

  • Cloaked Shadow действует с 2023 года и нацелена в основном на российские компании.
  • Инструментарий включает ReverseSocks5, обратные ssh-бэкдоры, кастомные дропперы и память-ориентированные загрузчики.
  • Зафиксировано появление нового актора в 2025 году с самописным бэкдором, использующим DNS tunneling.
  • Артефакты указывают на сходство некоторых методов с Vasilek и Cyberpartisans-BY.
  • Группа сохраняла постоянное присутствие в инфраструктурах жертв, несмотря на активность других акторов.

Инструменты и методы атаки

Инструментарий Cloaked Shadow включает ряд вредоносных и пользовательских программ, предназначенных для проксирования и туннелирования трафика внутри скомпрометированных сетей. Среди ключевых компонентов:

  • ReverseSocks5 — бэкдор, функционирующий подобно одноимённому проекту на GitHub, что указывает на возможное повторное использование открытого кода.
  • Обратные ssh-бэкдоры — позволяют злоумышленникам подключаться к proxy-серверу socks5 и организовывать каналы связи внутри сети жертвы.
  • Пользовательские дропперы — для запуска полезных нагрузок непосредственно в памяти, сокращая следы в файловой системе.
  • Загрузчик, связанный с ранее известной группой GOFFEE_LLoader, как пример memory-only выполнения.

Эти инструменты оптимизированы для построения необнаружимых внутренних сетевых туннелей и минимизации записей в логах ОС: злоумышленники получают доступ «с минимальными следами, оставляемыми в журналах операционной системы».

Новый актор 2025 года и DNS tunneling

Анализ выявил появление нового актора, отличающегося самописным, сложным бэкдором, использующим DNS tunneling для связи командования и контроля (C2). Бэкдор намеренно запутан, чтобы затруднить обнаружение, и демонстрирует сходство с бэкдором Vasilek. По характеристикам он также соотносится с поведением Cyberpartisans-BY, ранее связанной с громкими атаками против крупных российских компаний.

Функциональные возможности инфраструктуры

Инфраструктура вредоносного ПО предоставляет широкий набор функциональных возможностей для управления компрометированными хостами:

  • Выполнение команд оболочки через /bin/sh;
  • Создание подключений к proxy-серверам socks5 и организация каналов связи;
  • Управление несколькими сеансами как с серверами C2, так и с серверами socks5;
  • Протокол обмена включает отправку специализированных кодов операций для передачи команд и статусов, связанных с сеансами оболочки и прокси-соединениями;
  • Коды операций реализуют выполнение асинхронных команд, закрытие сеансов и управление обменом данными между подпрограммами.

Такая архитектура позволяет обеспечить бесперебойную работу даже в сложных и шумных сетевых условиях.

Устойчивость присутствия и эволюция тактик

Данные указывают, что Cloaked Shadow сохраняла постоянное присутствие в инфраструктурах жертв, несмотря на деятельность других групп (например, GOFFEE), которые, по-видимому, прекратили активность. Это подчёркивает эволюцию методов атак и растущую изощрённость злоумышленников в долгосрочных кампаниях.

«Инструменты отлично подходят для построения необнаружимых внутренних сетевых туннелей»

В совокупности наблюдаемые техники — от повторного использования открытого кода до сложных самописных C2-каналов через DNS tunneling — демонстрируют, что противники всё активнее внедряют методы, затрудняющие обнаружение и атрибуцию атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: