СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
3 часа назад
#ИБ

FUD Crypt: платформа для скрытного развертывания вредоносного ПО

Исследование, посвящённое платформе FUD Crypt, показывает, что речь идёт не просто о наборе вредоносных инструментов, а о полноценном сервисе по модели Cryptor-as-a-Service. Подписчикам, которые платят от $800 до $2,000 в месяц, предоставляется возможность загружать любой исполняемый файл Windows и получать его упакованную версию, рассчитанную на обход обнаружения, закрепление на целевых системах и скрытное выполнение.

По сути, FUD Crypt предлагает организованный конвейер для подготовки вредоносных сборок, где упор делается не на отдельные приёмы, а на их связку: от упаковки бинарных файлов и автоматизированного тестирования до использования собственной инфраструктуры для доставки и запуска полезной нагрузки.

Что умеет платформа

Согласно отчёту, сервис поддерживает сразу несколько механизмов, повышающих устойчивость вредоносного ПО и затрудняющих его обнаружение:

  • автоматическую подгрузку DLL;
  • обход компонентов Windows Defender в памяти;
  • тихое повышение привилегий UAC;
  • обход защиты от изменений через модификацию групповых политик на корпоративных системах;
  • использование module stomping для манипуляции легитимными DLL в памяти.

Отдельное внимание уделяется техникам, связанным с сайдлоадингом. В инфраструктуре задействуются до 20 незадокументированных DLL-библиотек, а сами полезные нагрузки дополнительно скрываются за счёт полиморфного шифрования с использованием XOR и RC4. В зависимости от сборки применяются пользовательские преобразования, которые усложняют анализ и сопоставление образцов между собой.

Инфраструктура и операционная поддержка

Инфраструктура платформы, как отмечается в отчёте, поддерживается четырьмя учётными записями Azure Trusted Signing. Эти аккаунты используются для удостоверения бинарных файлов, контролируемых оператором. Такой подход повышает доверие к исполняемым объектам и может затруднять их блокировку на ранних этапах.

Сервис также опирается на парк агентов. В истории команд задокументировано 32 агента, что указывает на широкое применение PowerShell и методов выполнения команд. Это говорит о развитой операционной модели, в которой значительная часть действий автоматизирована и распределена по инфраструктуре.

Методы уклонения от обнаружения

По данным отчёта, FUD Crypt использует сложный набор механизмов, рассчитанных на противодействие современным средствам защиты и анализу. Среди них — вмешательство в AMSI и ETW, реализованное через прямые патчи памяти и использование аппаратных точек останова. Это позволяет скрывать вредоносную активность под видом легитимных системных процессов.

Кроме того, архитектура включает жёстко закодированные проверки на известные песочницы, что помогает выявлять виртуализированные или исследовательские среды и менять поведение до фактического запуска полезной нагрузки.

Трёхэтапная схема доставки

Отдельно в отчёте описан трёхэтапный загрузчик, который помогает поддерживать операционную безопасность и снижать вероятность обнаружения во время выполнения. Такая схема усложняет наблюдение за цепочкой заражения и разрывает связь между первоначальным запуском и финальной полезной нагрузкой.

Также отмечается, что платформа выстроила тесный конвейер сборки, используя проприетарные скрипты для загрузки полезной нагрузки из сервисов, открытых через Docker, и её скрытного выполнения.

Доставка и полезная нагрузка

Полезная нагрузка нередко включает известные инструменты удалённого доступа, в том числе ScreenConnect. При этом методы доставки варьируются: в частности, упоминается фишинг как один из каналов первоначального проникновения.

Такая комбинация показывает, что платформа ориентирована не на один сценарий атаки, а на гибкую адаптацию под разные цепочки заражения и разные типы целей.

Почему это опасно

Хотя методы, которые использует FUD Crypt, сами по себе не являются принципиально новыми, их опасность заключается в бесшовной интеграции. Сервис объединяет продвинутые возможности шифрования, автоматизированное тестирование и операционную инфраструктуру для вредоносных развёртываний в единую систему.

Именно эта связка — вместе с возможностью кастомизации и создания индивидуального пользовательского опыта — повышает риски и делает платформу заметным элементом текущего ландшафта киберугроз.

Сложность FUD Crypt заключается не в отдельной технике, а в том, насколько последовательно и технологично они собраны в один сервис.

В результате FUD Crypt представляет собой не просто очередной cryptor, а масштабируемую платформу, которая снижает порог входа для операторов вредоносного ПО и усиливает их возможности по обходу защиты, сокрытию активности и управлению развертыванием.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: