Dropping Elephant скрывает RAT в памяти через DLL side-loading
Rapid7 раскрыла новую кампанию Dropping Elephant с уклоном в fileless-доставку и сложное уклонение от detection
Исследователи Rapid7 сообщили о новой вредоносной кампании, приписываемой группе Dropping Elephant. Атака использует документ-приманку на китайскую тематику и приводит к загрузке существенно модифицированного Remote Access Trojan в память системы. По оценке аналитиков, кампания демонстрирует высокий уровень технической зрелости и сочетает сразу несколько методов обхода защитных механизмов.
Как устроена атака
Первичная доставка начинается с взаимодействия пользователя с вредоносным ярлыком Windows GRES3001.lnk, замаскированным под PDF-документ, связанный с контрактом в энергетическом секторе Китая. После запуска ярлыка выполняется зашифрованный PowerShell-загрузчик, который извлекает с промежуточного сервера как поддельный документ, так и основную вредоносную полезную нагрузку.
Для сокрытия своей активности злоумышленники используют стандартные техники обфускации, затрудняющие детектирование на раннем этапе. Затем в цепочке заражения применяется DLL sideloading: через легитимный бинарный файл Microsoft Fondue.exe загружается вредоносный компонент APPWIZ.cpl.
Выполнение целиком в памяти
Файл APPWIZ.cpl выполняет роль загрузчика следующего этапа. Он читает и расшифровывает полезную нагрузку, после чего с помощью вызовов VirtualAlloc и memcpy отображает Donut shellcode в область памяти с правами на запись и выполнение. При этом финальный RAT не записывается на диск вообще.
Такой подход существенно осложняет работу традиционных средств защиты, ориентированных на файловые артефакты. В этом случае основная угроза существует как in-memory-компонент, что делает ее менее заметной для классических методов анализа.
Почему этот RAT сложно обнаружить
По данным Rapid7, эволюционировавший RAT использует целый набор техник, направленных на обход средств защиты и скрытие управляющей логики:
- выравнивание потока управления;
- восстановление API во время выполнения;
- шифрование Chaskey;
- патчинг кода для обхода AMSI, WLDP и ETW;
- высокий уровень обфускации;
- анализ окружения и проверка процессов для противодействия анализу.
После запуска 32-битный нативный RAT отделяется от консольного интерфейса, динамически разрешает необходимые API и устанавливает соединение со своим C2-сервером по HTTPS. Для C2-трафика используется специфический токен, а связь поддерживается через периодические beacon-сообщения.
Сохранение привычных черт Dropping Elephant
Несмотря на серьезные изменения в архитектуре вредоносной программы, исследователи отмечают преемственность с ранее известной тактикой Dropping Elephant. Об этом говорят:
- согласованные паттерны beaconing;
- возможности создания screenshots;
- структуры обработки команд;
- характерные элементы C2-логики.
Иными словами, злоумышленники модернизируют инструментальную базу, но сохраняют узнаваемые операционные признаки, по которым можно связать кампанию с уже известным actor.
Что это значит для defenders
Rapid7 подчеркивает, что кампания отражает устойчивые инвестиции в развитие malware, особенно в части delivery и evasion. Переход к резидентности в памяти означает, что защитники не могут полагаться только на традиционные IOCs, такие как hash-значения или имена файлов.
Вместо этого требуется фокус на:
- behavioral indicators;
- memory visibility;
- monitoring of PowerShell activity;
- anomaly detection in DLL sideloading chains;
- контроле нестандартных HTTPS-соединений с C2-инфраструктурой.
Как следует из отчета, развитие RAT может происходить параллельно с сохранением старых operational patterns. Это означает, что угроза не только не теряет актуальности, но и продолжает адаптироваться, усложняя detection и response.
Вывод: кампания Dropping Elephant демонстрирует, как современные threat actor все активнее смещаются в сторону fileless- и memory-based-методов, совмещая их с проверенными схемами социальной инженерии и инфраструктурой удаленного управления. Для организаций это означает необходимость более глубокого мониторинга поведения процессов и памяти, а не только файловой системы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



