ESET: FishMonger перенес бэкдор SprySOCKS на Windows

Исследователи ESET обнаружили две ранее не документированные Windows-версии бэкдора FishMonger

Исследователи ESET сообщили о выявлении двух новых, ранее не документированных версий бэкдора FishMonger для Windows — WIN_DRV и WIN_PLUS. До этого семейство было известно главным образом по Linux-версии. По данным отчета, новые модификации активно применялись в атаках на правительственные организации в Гондурасе, Тайване, Таиланде и Пакистане в 2023–2024 годах.

Что известно о новых версиях

Обе версии используют жестко заданную конфигурацию управления и контроля, или C&C, поддерживают связь по TCP, UDP и WebSocket, а также способны выполнять более 30 команд. Среди них — управление файлами, сбор системной информации и другие операции удаленного администрирования.

  • WIN_DRV использует драйверы ядра для повышения скрытности;
  • WIN_PLUS структурно похож на WIN_DRV, но не использует драйвер RawWNPF;
  • обе версии ориентированы на маскировку сетевой активности и обход стандартного мониторинга.

Особенности WIN_DRV

Ключевой особенностью варианта WIN_DRV является применение драйверов ядра для сокрытия сетевых подключений, процессов и файлов. Кроме того, этот вариант создает пассивный TCP-бэкдор, который устанавливает связь на случайно выбранном порту, не раскрывая порт прослушивания при сетевом анализе.

Вредоносный код встраивается в DLL под названием PrcsServer.dll. По данным ESET, рабочий процесс включает загрузчик, который запускается в контексте легитимной службы печати, что позволяет снижать вероятность обнаружения.

«WIN_DRV использует драйвер RawWNPF, способный скрывать сетевую активность путем перехвата системных вызовов и перенаправления TCP-пакетов», — отмечают исследователи.

Чем отличается WIN_PLUS

Вариант WIN_PLUS во многом повторяет архитектуру WIN_DRV, однако не использует RawWNPF. Это делает его менее эффективным с точки зрения сокрытия вредоносной активности, хотя в целом он сохраняет общий подход к коммуникации с инфраструктурой C&C.

Обе версии могут устанавливать командные сессии без обращения к заранее заданному адресу C&C. Для этого они используют специально сформированные данные, отправляемые на любой открытый TCP-порт на компьютере жертвы. Такой подход усложняет обнаружение по привычным сетевым признакам.

Происхождение и развитие SprySOCKS

Бэкдор SprySOCKS основан на открытом RAT под названием Trochilus и имеет общие черты с бэкдором RedLeaves. Архитектура включает общие форматы связи C&C и схожие наборы команд между Linux- и Windows-версиями, хотя каждая платформа получила собственные доработки.

Исследователи также предполагают наличие потенциала у компонента UEFI-буткита, связанного с CVE-2023-24932. Это указывает на заметный сдвиг в тактике группы и расширение ее технических возможностей.

Как происходил первоначальный доступ

По оценке ESET, FishMonger часто использует эксплуатацию уязвимостей публичных серверов как способ первоначального доступа. При этом конкретные механизмы проникновения в рамках данной кампании пока не установлены.

Помимо этого, вредоносные версии используют пользовательские вызовы Windows API для манипуляции системными вызовами и обхода обнаружения стандартными сетевыми инструментами.

Вывод

Появление WIN_DRV и WIN_PLUS показывает, что FishMonger продолжает развивать инструментарий для разных платформ, одновременно повышая уровень скрытности и усложняя анализ атак. Для затронутых организаций это означает необходимость постоянного мониторинга активности, а также усиления защиты публичных сервисов и своевременного устранения уязвимостей.

В ESET подчеркивают, что эволюция этого бэкдора свидетельствует о сохраняющемся и технологически зрелом ландшафте угроз, где ключевую роль играют продвинутые техники уклонения и расширенный операционный охват.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: