EtherHiding и PowerShell: многоэтапная атака на гостиничный сектор

Эксклюзивный разбор от эксперта по кибербезопасности. Расследование команды LevelBlue Managed Threat Research вскрыло изощрённую кампанию, ориентированную на гостиничный сектор. Злоумышленники объединили фишинг, обфускацию PowerShell и децентрализованные механизмы получения командных серверов, чтобы оставаться незамеченными как можно дольше.

Атака стартует с безобидного на первый взгляд письма, а заканчивается полноценным бэкдором, способным гибко менять свою инфраструктуру. Её главная особенность — отказ от классических жёстко прописанных C2-адресов в пользу технологии EtherHiding, завязанной на блокчейн TON. Ниже — поэтапная реконструкция угрозы и анализ каждого из её слоёв.

Фишинговая точка входа: когда ярлык притворяется картинкой

Первым звеном атаки служит целевое фишинговое письмо, содержащее ZIP-архив. Внутри архива находится файл ярлыка Windows (.lnk), искусно маскирующийся под графическое изображение. Для этого злоумышленники подменяют иконку, заимствуя её из легитимной библиотеки shell32.dll. Жертва, рассчитывая открыть картинку, запускает ярлык и тем самым активирует цепочку вредоносных действий.

PowerShell как дирижёр: обфускация и развёртывание Node.js

При выполнении LNK-файла в дело вступает тщательно обфусцированная команда PowerShell. Её задача — восстановить скрытый URL управляющего сервера. Для этого применяется нетривиальный приём: манипуляции с большими целыми числами и побайтовое извлечение данных, что серьёзно затрудняет статический анализ.

Скрипт действует расчётливо и проверяет среду жертвы:

  • если Node.js на машине отсутствует, вредоносный код самостоятельно загружает и устанавливает легитимный пакет Node.js;
  • после гарантированного появления платформы запускается обфусцированный JavaScript-бэкдор.

Таким образом, атакующие не просто эксплуатируют готовую среду, но и аккуратно доставляют необходимые зависимости, маскируя свои действия под установку привычного разработчикам инструмента.

Бэкдор на пользовательском байт-коде и защита от дублирования

Ключевое звено вредоносной программы — интерпретатор виртуальной машины, работающий с собственным байт-кодом. Вместо прямого выполнения JavaScript-инструкций бэкдор интерпретирует байт-код, что резко усложняет его детектирование традиционными средствами анализа скриптов.

Среди вспомогательных, но продуманных механизмов:

  • проверка наличия процессов node.exe для предотвращения запуска нескольких экземпляров бэкдора одновременно;
  • закрепление в системе через создание ключа реестра, обеспечивающего автозагрузку при входе пользователя;
  • проверка интернет-соединения путём HTTPS-запросов — вредонос убеждается в доступности сети перед установкой связи с управляющим сервером.

EtherHiding и блокчейн TON: динамический C2 без правки кода

Наиболее примечательная черта кампании — применение метода EtherHiding для получения URL командного центра через блокчейн TON. Вместо того чтобы хранить адрес внутри вредоносного файла, злоумышленники извлекают его из транзакций в блокчейне. Это даёт им следующие преимущества:

  • возможность оперативно обновлять C2-адреса, не модифицируя само вредоносное ПО;
  • высокую устойчивость к блокировкам доменов и изъятию серверов;
  • дополнительный уровень уклонения от анализа, так как связка «вредонос — блокчейн» выглядит нетипично для защитных решений.

Фактически инфраструктура атаки становится динамической и адаптивной, подстраиваясь под действия защитников в реальном времени.

Защищённый канал и проверка подписи: ставка на скрытность

Связь между заражённой машиной и сервером C2 устанавливается через WebSocket с обязательным обменом ключами по протоколу ECDH. Такое шифрование делает перехват трафика крайне затруднительным. Дополнительно вредонос проверяет наличие действительной PE-подписи у загружаемых исполняемых файлов — вероятно, чтобы избежать подмены на этапе получения полезной нагрузки.

Исследователи отмечают, что атакующая инфраструктура выглядит надёжной: C2-серверы размещены за Cloudflare, а связка с блокчейном TON обеспечивает устойчивость к традиционным контрмерам.

Непрерывная кампания и эволюция тактик

По данным LevelBlue, кампания остаётся активной. Последние образцы демонстрируют одинаковый MachineID, что указывает на стремление злоумышленников поддерживать постоянство операций и сохранять контроль над скомпрометированными системами. Специалисты подчёркивают, что подобное сочетание методов свидетельствует о значительном сдвиге в арсенале кибергруппировок.

«Данная кампания демонстрирует значительную эволюцию тактик вредоносного ПО, объединяя различные методы для уклонения от обнаружения и обеспечения долгосрочности операций», — прокомментировали в команде LevelBlue Managed Threat Research.

Многослойная стратегия — от безобидного LNK-файла с чужой иконкой до интерпретатора байт-кода и децентрализованного управления — показывает, что индустрия гостеприимства столкнулась с противником, который умеет грамотно использовать легитимные инструменты и новейшие Web3-технологии для своих целей. Организациям из сектора рекомендуется усилить контроль за почтовыми вложениями, ограничить выполнение скриптов из неподписанных ярлыков и мониторить аномальную сетевую активность, связанную с WebSocket-соединениями и взаимодействием с блокчейн-узлами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: