11 марта

GhostWeaver: безфайловый PowerShell-RAT с DGA и продвинутым уклонением

GhostWeaver — это сложный безфайловый троян удаленного доступа (RAT) на базе PowerShell, который выделяется необычным подходом к C2‑коммуникациям и множеством механизмов скрытности. Отчет описывает особенности его архитектуры, инфраструктуры и методов устойчивости, а также указывает на связь с группой угроз, известной как TA582 (по оценке Mandiant — UNC4108).

Краткое содержание

Команда и контроль (C2): данные передаются как GZip-сжатый JSON по устаревшим соединениям TLS 1.0 на порт 25658;
Уклонение и скрытность: ежедневный и еженедельный DGA, множество режимов постоянства, манипуляции с полями PEB и обходы UAC;
Доставка: основной загрузчик — MintsLoader, который отличает реальные машины от виртуальных сред;
Инфраструктура: четыре кластера C2, несколько активных узлов с начала 2026 года;
Плагины: рефлексивная загрузка модулей из .NET DLL без артефактов на диске — функции кражи учетных данных, паролей браузеров и данных Outlook;
Сетевые и DNS‑техники: нестандартные C2‑протоколы, использование закодированных публичных DNS резолверов для обхода корпоративной фильтрации.

Технические особенности

GhostWeaver использует нестандартный стек для обмена командами: C2‑сообщения упакованы как GZip-сжатый JSON и передаются по TLS 1.0 на порт 25658. Применение устаревшего TLS и нестандартного порта направлено на усложнение обнаружения и фильтрации трафика.

Особенно примечателен алгоритм генерации доменов (DGA), который генерирует домены как ежедневно, так и еженедельно — это затрудняет блокировку C2 по статическим спискам и повышает живучесть инфраструктуры.

Доставка и эвазионные механизмы

Основной вектор доставки — загрузчик MintsLoader. Он выполняет предварительную оценку окружения и фильтрует виртуальные машины, гарантируя, что эксплойт активируется преимущественно на реальных хостах. Такой подход снижает вероятность анализа в песочницах и замедляет процедуру обратного инжиниринга.

Установщик GhostWeaver содержит логику для обнаружения конкретных продуктов AV и модифицирует свое поведение в зависимости от наличия тех или иных решений безопасности, что повышает вероятность успешного развертывания.

Механизмы постоянства и обходы систем безопасности

Четыре различных режима постоянства, включая техники подделки легитимных процессов через манипуляции полями PEB — это помогает обойти сигнатурные детекторы и поведенческий анализ;
Обход UAC при установке постоянства;
Защищённая загрузка, выполняемая каждые три минуты через Планировщик заданий Windows, использует обфусцированную команду PowerShell, при этом действия не оставляют следов в стандартных журналах событий;
Рефлексивная загрузка плагинов из .NET DLL во время выполнения без записи на диск — ключевая техника для fileless‑поведения.

Плагины и пост‑эксплуатационные возможности

Архитектура позволяет динамически подгружать плагины, которые выполняют такие вредоносные действия, как кража учетных данных из браузеров и извлечение данных из Outlook. Благодаря загрузке в памяти плагины не оставляют привычных артефактов на файловой системе, что усложняет последующий forensic‑анализ.

Инфраструктура C2 и сетевые техники

Инфраструктура поддерживается четырьмя кластерами C2; в расследовании выявлены несколько активных узлов с начала 2026 года. Каждый узел способен быстро распространять байт‑идентичные установщики для обеспечения синхронности операций.

Протоколы C2 специально разработаны для обхода традиционных egress‑фильтров. Вредонос использует также сложные методы DNS‑разрешения: в коде зашиты публичные DNS резолверы, что позволяет обходить корпоративные DNS‑фильтры и маскировать доменные запросы.

По оценке Mandiant, деятельность связана с группой угроз, которую они помечают как UNC4108 (внешняя маркировка — TA582).

Выводы и рекомендации

GhostWeaver — пример целенаправленного fileless‑RAT с многослойными техниками уклонения, ориентированного на долгосрочное удержание доступа и сбор конфиденциальной информации. Для снижения рисков рекомендуется:

Ограничить и мониторить трафик на нестандартных портах (включая порт 25658) и блокировать устаревшие версии TLS (включая TLS 1.0);
Отслеживать аномальную активность PowerShell, в том числе запуск обфусцированных команд и частые исполнения через Task Scheduler с периодичностью ≈3 минуты;
Обращать внимание на поведение приложений, изменяющих поля PEB, и на процессы с признаками подделки имен/контекста;
Мониторить DNS‑запросы на предмет использования нестандартных публичных резолверов и DGA‑сгенерированных доменов;
Усилить контроль за механизмами загрузки модулей в память (.NET reflective loading) и внедрить detection‑правила для рефлексивной загрузки;
Проверять вендор‑специфичные индикаторы обхода AV и внедрять многоуровневые стратегии EDR и сетевой корреляции.

Доклад подчёркивает необходимость интеграции сетевого мониторинга, аналитики поведения на конечных точках и обнаружения аномалий в DNS‑трафике для своевременного выявления и нейтрализации подобных угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Автор: Технологии киберугроз

Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.

Комментарии: