Dropping Elephant скрывает RAT в памяти через DLL side-loading

Rapid7 раскрыла новую кампанию Dropping Elephant с уклоном в fileless-доставку и сложное уклонение от detection

Исследователи Rapid7 сообщили о новой вредоносной кампании, приписываемой группе Dropping Elephant. Атака использует документ-приманку на китайскую тематику и приводит к загрузке существенно модифицированного Remote Access Trojan в память системы. По оценке аналитиков, кампания демонстрирует высокий уровень технической зрелости и сочетает сразу несколько методов обхода защитных механизмов.

Как устроена атака

Первичная доставка начинается с взаимодействия пользователя с вредоносным ярлыком Windows GRES3001.lnk, замаскированным под PDF-документ, связанный с контрактом в энергетическом секторе Китая. После запуска ярлыка выполняется зашифрованный PowerShell-загрузчик, который извлекает с промежуточного сервера как поддельный документ, так и основную вредоносную полезную нагрузку.

Для сокрытия своей активности злоумышленники используют стандартные техники обфускации, затрудняющие детектирование на раннем этапе. Затем в цепочке заражения применяется DLL sideloading: через легитимный бинарный файл Microsoft Fondue.exe загружается вредоносный компонент APPWIZ.cpl.

Выполнение целиком в памяти

Файл APPWIZ.cpl выполняет роль загрузчика следующего этапа. Он читает и расшифровывает полезную нагрузку, после чего с помощью вызовов VirtualAlloc и memcpy отображает Donut shellcode в область памяти с правами на запись и выполнение. При этом финальный RAT не записывается на диск вообще.

Такой подход существенно осложняет работу традиционных средств защиты, ориентированных на файловые артефакты. В этом случае основная угроза существует как in-memory-компонент, что делает ее менее заметной для классических методов анализа.

Почему этот RAT сложно обнаружить

По данным Rapid7, эволюционировавший RAT использует целый набор техник, направленных на обход средств защиты и скрытие управляющей логики:

  • выравнивание потока управления;
  • восстановление API во время выполнения;
  • шифрование Chaskey;
  • патчинг кода для обхода AMSI, WLDP и ETW;
  • высокий уровень обфускации;
  • анализ окружения и проверка процессов для противодействия анализу.

После запуска 32-битный нативный RAT отделяется от консольного интерфейса, динамически разрешает необходимые API и устанавливает соединение со своим C2-сервером по HTTPS. Для C2-трафика используется специфический токен, а связь поддерживается через периодические beacon-сообщения.

Сохранение привычных черт Dropping Elephant

Несмотря на серьезные изменения в архитектуре вредоносной программы, исследователи отмечают преемственность с ранее известной тактикой Dropping Elephant. Об этом говорят:

  • согласованные паттерны beaconing;
  • возможности создания screenshots;
  • структуры обработки команд;
  • характерные элементы C2-логики.

Иными словами, злоумышленники модернизируют инструментальную базу, но сохраняют узнаваемые операционные признаки, по которым можно связать кампанию с уже известным actor.

Что это значит для defenders

Rapid7 подчеркивает, что кампания отражает устойчивые инвестиции в развитие malware, особенно в части delivery и evasion. Переход к резидентности в памяти означает, что защитники не могут полагаться только на традиционные IOCs, такие как hash-значения или имена файлов.

Вместо этого требуется фокус на:

  • behavioral indicators;
  • memory visibility;
  • monitoring of PowerShell activity;
  • anomaly detection in DLL sideloading chains;
  • контроле нестандартных HTTPS-соединений с C2-инфраструктурой.

Как следует из отчета, развитие RAT может происходить параллельно с сохранением старых operational patterns. Это означает, что угроза не только не теряет актуальности, но и продолжает адаптироваться, усложняя detection и response.

Вывод: кампания Dropping Elephant демонстрирует, как современные threat actor все активнее смещаются в сторону fileless- и memory-based-методов, совмещая их с проверенными схемами социальной инженерии и инфраструктурой удаленного управления. Для организаций это означает необходимость более глубокого мониторинга поведения процессов и памяти, а не только файловой системы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: