Crimson RAT через макросы Excel: APT36 и риски шпионажа
Специалисты по кибербезопасности зафиксировали очередную кампанию, в ходе которой троян удалённого доступа Crimson RAT распространяется через вредоносные документы Excel. Вектор атаки — макросы Microsoft Office — остаётся одним из самых распространённых и эффективных механизмов доставки вредоносного ПО, особенно в целевых операциях.
Кто стоит за атакой
Использование Crimson RAT связывают с группировкой APT36, также известной как Transparent Tribe. Эта группа ранее отмечалась целевыми операциями против конкретных организаций и секторов, и её тактика соответствует поведению, наблюдаемому в новой кампании.
Механизм заражения
Заражение происходит при открытии вредоносного файла Excel и активации содержащихся в нём макросов. После запуска макросы инициируют последовательность действий, направленных на скачивание и установку Crimson RAT на систему жертвы. Типичные шаги включают:
- включение/выполнение макроса при открытии документа;
- загрузка дополнительного исполняемого кода с удалённого сервера;
- развёртывание компонентов для поддержания устойчивости и удалённого управления;
- установка средств для сбора данных и дальнейшей разведки в сети жертвы.
Что делает Crimson RAT после проникновения
После установки RAT предоставляет злоумышленникам удалённый доступ и контроль над инфицированным устройством. В функционал обычно входят возможность выполнения команд, извлечение локальных данных, съём снимков экрана, перехват ввода, а также дальнейшая разведка и перемещение по сети. Такое поведение делает Crimson RAT ценным инструментом для шпионажа и сбора конфиденциальной информации.
«Продолжающееся использование Crimson RAT подчёркивает острую необходимость строгих настроек макробезопасности в средах Microsoft Office», — отмечают специалисты.
Индикаторы компрометации (IoC) — на что обращать внимание
- неожиданные файлы .xlsm или другие документы с макросами, полученные по почте;
- внезапные или нестандартные исходящие подключения к неизвестным доменам/адресам;
- появление новых процессов, особенно с нестандартными именами, запущенных от имени офисных приложений;
- создание записей в реестре или задач в планировщике для обеспечения персистентности;
- аномальная активность на файловых ресурсах и массовая передача данных.
Рекомендации для организаций и пользователей
Чтобы снизить риск заражения и последствий атак с использованием макросов и Crimson RAT, рекомендуется:
- поддерживать антивирусные решения и EDR в актуальном состоянии;
- включить политику блокировки макросов по умолчанию и разрешать их запуск только для подписанных/включённых источников;
- использовать Protected View и другие средства изоляции для офисных документов;
- реализовать политики групповой безопасности (GPO) для управления макросами в Microsoft Office;
- проводить обучение сотрудников по распознаванию фишинга и опасных вложений;
- внедрить сегментацию сети и ограничение привилегий для снижения последствий возможного вторжения;
- настроить мониторинг и блокировку известных C2-доменов/IP и отслеживание аномалий в сетевом трафике.
Вывод
Повторное использование Crimson RAT в сочетании с макросами Excel демонстрирует, что классические векторы атаки остаются актуальными и опасными. Бдительность, проактивные меры защиты и грамотная информационная гигиена — ключевые элементы защиты от подобных угроз. Организациям следует пересмотреть настройки макробезопасности и усилить процессы обнаружения и реагирования, чтобы минимизировать риск успешной компрометации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



