Crimson RAT через макросы Excel: APT36 и риски шпионажа

Специалисты по кибербезопасности зафиксировали очередную кампанию, в ходе которой троян удалённого доступа Crimson RAT распространяется через вредоносные документы Excel. Вектор атаки — макросы Microsoft Office — остаётся одним из самых распространённых и эффективных механизмов доставки вредоносного ПО, особенно в целевых операциях.

Кто стоит за атакой

Использование Crimson RAT связывают с группировкой APT36, также известной как Transparent Tribe. Эта группа ранее отмечалась целевыми операциями против конкретных организаций и секторов, и её тактика соответствует поведению, наблюдаемому в новой кампании.

Механизм заражения

Заражение происходит при открытии вредоносного файла Excel и активации содержащихся в нём макросов. После запуска макросы инициируют последовательность действий, направленных на скачивание и установку Crimson RAT на систему жертвы. Типичные шаги включают:

  • включение/выполнение макроса при открытии документа;
  • загрузка дополнительного исполняемого кода с удалённого сервера;
  • развёртывание компонентов для поддержания устойчивости и удалённого управления;
  • установка средств для сбора данных и дальнейшей разведки в сети жертвы.

Что делает Crimson RAT после проникновения

После установки RAT предоставляет злоумышленникам удалённый доступ и контроль над инфицированным устройством. В функционал обычно входят возможность выполнения команд, извлечение локальных данных, съём снимков экрана, перехват ввода, а также дальнейшая разведка и перемещение по сети. Такое поведение делает Crimson RAT ценным инструментом для шпионажа и сбора конфиденциальной информации.

«Продолжающееся использование Crimson RAT подчёркивает острую необходимость строгих настроек макробезопасности в средах Microsoft Office», — отмечают специалисты.

Индикаторы компрометации (IoC) — на что обращать внимание

  • неожиданные файлы .xlsm или другие документы с макросами, полученные по почте;
  • внезапные или нестандартные исходящие подключения к неизвестным доменам/адресам;
  • появление новых процессов, особенно с нестандартными именами, запущенных от имени офисных приложений;
  • создание записей в реестре или задач в планировщике для обеспечения персистентности;
  • аномальная активность на файловых ресурсах и массовая передача данных.

Рекомендации для организаций и пользователей

Чтобы снизить риск заражения и последствий атак с использованием макросов и Crimson RAT, рекомендуется:

  • поддерживать антивирусные решения и EDR в актуальном состоянии;
  • включить политику блокировки макросов по умолчанию и разрешать их запуск только для подписанных/включённых источников;
  • использовать Protected View и другие средства изоляции для офисных документов;
  • реализовать политики групповой безопасности (GPO) для управления макросами в Microsoft Office;
  • проводить обучение сотрудников по распознаванию фишинга и опасных вложений;
  • внедрить сегментацию сети и ограничение привилегий для снижения последствий возможного вторжения;
  • настроить мониторинг и блокировку известных C2-доменов/IP и отслеживание аномалий в сетевом трафике.

Вывод

Повторное использование Crimson RAT в сочетании с макросами Excel демонстрирует, что классические векторы атаки остаются актуальными и опасными. Бдительность, проактивные меры защиты и грамотная информационная гигиена — ключевые элементы защиты от подобных угроз. Организациям следует пересмотреть настройки макробезопасности и усилить процессы обнаружения и реагирования, чтобы минимизировать риск успешной компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: