Глубокий анализ PowerShell-атак Kimsuky и XWorm RAT
Источник: medium.com
Экспертный анализ вредоносных PowerShell утилит, связанных с Kimsuky и XWorm RAT
Недавнее исследование выявило комплексную схему использования двух вредоносных PowerShell-утилит, ассоциированных с киберпреступной группировкой Kimsuky и троянской программой удалённого доступа XWorm RAT. Анализ этих утилит демонстрирует сложные техники обхода защиты и многоэтапное развертывание вредоносного ПО, что подчеркивает высокий уровень подготовки атакующих.
Общие характеристики вредоносных утилит
Обе полезные загрузки были обнаружены в виде кодировки Base64. После декодирования с использованием CyberChef выявлены следующие ключевые моменты:
- Загрузка различных типов файлов (
RAR,EXE) с единого IP-адреса 185.235.128.114. - Данный IP-адрес помечен сервисом VirusTotal как вредоносный.
- Назначение утилит — установление RDP-соединения в обход гипервизоров, что значительно упрощает дальнейшее внедрение и эксплуатацию.
Многоэтапная природа атаки
Исходная точка — выполнение скрипта PowerShell с именем e0564ad9157ced5ee57be9111a9e6c13eb7d4f7ecc8ce7724a55ae8428bbbc2.ps1, который, судя по всему, служит для:
- Запуска дополнительных полезных нагрузок.
- Загрузки необходимых файлов.
- Настройки механизмов автономного выполнения (persistence).
Интересный факт: файлы, связанные с атакой, сохраняются в системный каталог Windows, обычно используемый для метаданных списка переходов. Эти файлы получают расширение .customDestinations-ms, что позволяет скрыть вредоносную активность от стандартных средств обнаружения.
Активность процессов и тактики уклонения
Первичная полезная нагрузка запускает серию процессов, которые начинаются с powershell.exe. Такое дерево процессов является очевидным признаком активности вредоносного ПО. Дополнительные процессы cmd.exe и powershell.exe свидетельствуют о циклическом выполнении команд, что усложняет обнаружение.
Отдельно стоит выделить использование легитимных системных двоичных файлов — пример тактики Living Off the Land Binaries and Scripts (LOLBA). Эта стратегия позволяет злоумышленникам минимизировать следы внедрения стороннего ПО и усложнить работу средств безопасности.
Применение продвинутых техник PowerShell
Для сокрытия своей деятельности вредоносная программа использует команду Add-Type с целью определения и компиляции C# классов прямо в PowerShell. Это позволяет, например, скрывать окна работы процессов, связанных с PowerShell, и тем самым предотвращать выявление активности.
Кроме того, отмечается интенсивное использование:
- Разнообразных методов обфускации.
- Отключения ведения журналов событий Windows для снижения возможностей обнаружения (логов) атаки.
- Нестандартных схем кодирования данных для коммуникации с командным центром (C2).
Загрузка дополнительных компонентов и обеспечение устойчивости
Значимым моментом является загрузка архива RAR, который содержит дополнительные вредоносные программы и утилиты обслуживания. Инструкции по запуску этих компонентов реализуются через такие команды, как Invoke-Expression, что указывает на динамическую загрузку и исполнение кода.
В заключительном этапе вредоносная нагрузка обеспечивает:
- Постоянство (persistence) с помощью изменений в разделах реестра и запланированных задач.
- Функционал с характерными признаками троянских программ удалённого доступа (RAT).
- Возможность кражи информации и дальнейшей компрометации системы.
Заключение
Данное исследование демонстрирует высокотехнологичный и организованный подход группы Kimsuky и распространение опасного вредоносного ПО XWorm RAT через продвинутые PowerShell-утилиты. Комплексное использование техник обфускации, легитимных системных инструментов и многоэтапных сценариев делает эту угрозу особенно значимой для информационной безопасности современных организаций.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
