ESET: FishMonger перенес бэкдор SprySOCKS на Windows
Исследователи ESET обнаружили две ранее не документированные Windows-версии бэкдора FishMonger
Исследователи ESET сообщили о выявлении двух новых, ранее не документированных версий бэкдора FishMonger для Windows — WIN_DRV и WIN_PLUS. До этого семейство было известно главным образом по Linux-версии. По данным отчета, новые модификации активно применялись в атаках на правительственные организации в Гондурасе, Тайване, Таиланде и Пакистане в 2023–2024 годах.
Что известно о новых версиях
Обе версии используют жестко заданную конфигурацию управления и контроля, или C&C, поддерживают связь по TCP, UDP и WebSocket, а также способны выполнять более 30 команд. Среди них — управление файлами, сбор системной информации и другие операции удаленного администрирования.
- WIN_DRV использует драйверы ядра для повышения скрытности;
- WIN_PLUS структурно похож на WIN_DRV, но не использует драйвер RawWNPF;
- обе версии ориентированы на маскировку сетевой активности и обход стандартного мониторинга.
Особенности WIN_DRV
Ключевой особенностью варианта WIN_DRV является применение драйверов ядра для сокрытия сетевых подключений, процессов и файлов. Кроме того, этот вариант создает пассивный TCP-бэкдор, который устанавливает связь на случайно выбранном порту, не раскрывая порт прослушивания при сетевом анализе.
Вредоносный код встраивается в DLL под названием PrcsServer.dll. По данным ESET, рабочий процесс включает загрузчик, который запускается в контексте легитимной службы печати, что позволяет снижать вероятность обнаружения.
«WIN_DRV использует драйвер RawWNPF, способный скрывать сетевую активность путем перехвата системных вызовов и перенаправления TCP-пакетов», — отмечают исследователи.
Чем отличается WIN_PLUS
Вариант WIN_PLUS во многом повторяет архитектуру WIN_DRV, однако не использует RawWNPF. Это делает его менее эффективным с точки зрения сокрытия вредоносной активности, хотя в целом он сохраняет общий подход к коммуникации с инфраструктурой C&C.
Обе версии могут устанавливать командные сессии без обращения к заранее заданному адресу C&C. Для этого они используют специально сформированные данные, отправляемые на любой открытый TCP-порт на компьютере жертвы. Такой подход усложняет обнаружение по привычным сетевым признакам.
Происхождение и развитие SprySOCKS
Бэкдор SprySOCKS основан на открытом RAT под названием Trochilus и имеет общие черты с бэкдором RedLeaves. Архитектура включает общие форматы связи C&C и схожие наборы команд между Linux- и Windows-версиями, хотя каждая платформа получила собственные доработки.
Исследователи также предполагают наличие потенциала у компонента UEFI-буткита, связанного с CVE-2023-24932. Это указывает на заметный сдвиг в тактике группы и расширение ее технических возможностей.
Как происходил первоначальный доступ
По оценке ESET, FishMonger часто использует эксплуатацию уязвимостей публичных серверов как способ первоначального доступа. При этом конкретные механизмы проникновения в рамках данной кампании пока не установлены.
Помимо этого, вредоносные версии используют пользовательские вызовы Windows API для манипуляции системными вызовами и обхода обнаружения стандартными сетевыми инструментами.
Вывод
Появление WIN_DRV и WIN_PLUS показывает, что FishMonger продолжает развивать инструментарий для разных платформ, одновременно повышая уровень скрытности и усложняя анализ атак. Для затронутых организаций это означает необходимость постоянного мониторинга активности, а также усиления защиты публичных сервисов и своевременного устранения уязвимостей.
В ESET подчеркивают, что эволюция этого бэкдора свидетельствует о сохраняющемся и технологически зрелом ландшафте угроз, где ключевую роль играют продвинутые техники уклонения и расширенный операционный охват.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



