GoldenEye Dog (APT‑Q‑27): атаки через AWS S3 и скрытый шелл‑код

Кратко: По результатам последнего анализа, группировка GoldenEye Dog (APT-Q-27) провела серию атак, в которых использовала хранилища Amazon Web Services (AWS) S3 для доставки вредоносных компонентов. Исследование показывает продуманную методологию развёртывания, ориентированную на обход средств обнаружения и устойчивое закрепление в системах жертв.

Суть атаки

Атаки стартовали с загрузки полезных нагрузок из публичных и/или приватных бакетов AWS S3. При запуске вредоносное ПО последовательно проверяет окружение жертвы, в частности записи реестра, на предмет признаков виртуализации. Это позволяет злоумышленникам отсеивать виртуальные машины и избегать анализа в исследовательских средах.

«Вредоносное ПО специально проверяет наличие имен виртуальных машин, таких как «vmware», «virtual», «vbox», «qemu» и «xen».»

Техника уклонения и запуск полезной нагрузки

Ключевые элементы методики:

• Комплексная проверка окружения — в первую очередь запись реестра на признаки виртуализации.
• Обманный контейнер в виде зашифрованного файла DataReport.log, который фактически служит шеллкодом.
• Освобождение и загрузка переносимого исполняемого файла (PE) напрямую в память, что позволяет обходить дисковое сканирование и многие традиционные антивирусные механизмы.

Инфраструктура управления и масштабируемость

В образец вредоносного ПО встроены зашифрованные адреса управления (C&C), которые выбираются динамически в зависимости от сетевых условий и стратегий для предотвращения обнаружения. Такая архитектура повышает выживаемость кампании и затрудняет блокировку инфраструктуры злоумышленников.

Возможности и команды удалённого управления

Анализ показывает широкий набор функций, реализованных в вредоносном ПО, что даёт операторам практически полный контроль над инфицированными машинами:

• Управление файлами (загрузка, исполнение, удаление).
• Завершение процессов, в том числе критичных для обнаружения (например, explorer.exe и cmd.exe).
• Очищение следов атаки — удаление данных браузеров на платформах Internet Explorer, Chrome и Firefox.
• Модификации реестра и включение подключаемых модулей для расширения функциональности и закрепления.

Стратегические выводы

Общий портрет кампании указывает на высокий уровень квалификации и намеренное использование продвинутых техник:

• Избирательная проверка виртуализации — попытка затруднить анализ и автоматическое выявление атак.
• Исполнение PE в памяти — современная тактика для обхода традиционных средств защиты.
• Динамическая сеть C&C и модульная архитектура повышают устойчивость и масштабируемость операций.

Последствия и рекомендации

Деятельность APT-Q-27 демонстрирует рост изощрённости APT-кампаний и указывает на потенциальную эскалацию в будущем. Для снижения рисков организациям рекомендуется:

• Проверять доступность и конфигурацию бакетов AWS S3 — избегать публичного доступа без необходимости и отслеживать подозрительную активность.
• Использовать EDR-решения, способные детектировать исполнения кодов в памяти и аномалии в работе процессов.
• Аудит реестра и средств виртуализации для выявления попыток маскировки и индикации компрометации.
• Резервное копирование критичных данных и план реагирования на инциденты с учётом удаления браузерных следов и модификаций реестра.

Заключение

GoldenEye Dog (APT-Q-27) продемонстрировала хорошо организованную кампанию с применением современных техник доставки и уклонения от обнаружения. Инфраструктура на базе AWS S3, динамические C&C и исполнение PE в памяти делают эту угрозу серьёзной для организаций, особенно при недостаточной защите облачных хранилищ и отсутствующей телеметрии исполнения в памяти. Наблюдаемое поведение указывает на вероятность дальнейшего развития возможностей и расширения операций группировки.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.