GoodPersonRAT маскируется под LetsVPN и крадет данные

GoodPersonRAT: скрытая угроза под маской LetsVPN

Специалисты ThreatLocker Threat Intelligence выявили новую вредоносную кампанию, нацеленную на пользователей популярного VPN-сервиса. GoodPersonRAT — это RAT (Remote Access Trojan, троян удаленного доступа), искусно встроенный в поддельный установщик Kuailian VPN (также известного как LetsVPN). Данный зловред предоставляет операторам полный контроль над скомпрометированной системой и пользовательскими данными, оставаясь при этом практически незаметным для традиционных средств защиты.

Многоступенчатый механизм заражения

Инфекционная цепочка запускается после выполнения легитимного на первый взгляд установщика LetsVPNLatest.exe. Он действительно инсталлирует VPN-приложение, однако параллельно активирует цепочку вредоносных payloads. Сразу за ним активизируется второй компонент — promecefplugilte8.exe, выполняющий роль загрузчика shellcode. Его задача — извлечь третий файл, 20260609.dat, который и отвечает за ключевую C2-активность.

На этом этапе shellcode расшифровывает встроенный бинарный объект и осуществляет рефлексивную загрузку DLL прямо в память. Поскольку ни один вредоносный модуль не записывается на диск, классические антивирусные сигнатуры оказываются бессильны.

Умная C2-коммуникация и идентификация жертвы

GoodPersonRAT применяет изощрённый алгоритм выбора управляющего сервера. В коде предусмотрено 40 предопределённых адресов C2. Приоритетный сервер определяется на основе содержимого файла install_state.ini, где в открытом виде хранится параметр InstanceId. Если этот файл существует, он имеет безусловный приоритет перед резервными механизмами, опирающимися на имя исполняемого файла.

Связь с C2 поддерживается постоянно через открытый TCP-сокет, ожидающий команды. Заражённая машина идентифицируется уникальным клиентским ключом из файла ClientID.sys, что гарантирует непрерывность управления вне зависимости от перезагрузок и смены сетевого окружения.

Арсенал возможностей

Функционал GoodPersonRAT выходит далеко за рамки стандартных троянов удалённого доступа. Среди ключевых возможностей:

  • передача файлов как для загрузки дополнительных модулей, так и для эксфильтрации конфиденциальных данных;
  • интерактивное выполнение команд на хосте жертвы;
  • настройка прокси-серверов SOCKS5 и HTTP для маршрутизации трафика злоумышленников;
  • регистрация нажатий клавиш (keylogging) через выделенный процесс и захват содержимого буфера обмена с сохранением в скрытый текстовый файл;
  • целенаправленная атака на Telegram Desktop: зловред модифицирует настройки прокси и патчит исполняемый файл приложения, чтобы получить прямой доступ к учётным записям и сессионным данным, маскируя несанкционированные изменения.

Методичный обход EDR и защитных механизмов

Для нейтрализации средств обнаружения и реагирования на конечных точках (EDR) GoodPersonRAT использует продуманную технику профилирования. Вредонос собирает информацию об установленных в системе решениях безопасности и передаёт её на C2-сервер. Затем он целенаправленно изменяет настройки Microsoft Defender: добавляет исключения из сканирования и отключает отдельные защитные функции. Такой подход позволяет зловреду сохранять полную скрытность на протяжении всей операции, избегая анализа и блокировки.

GoodPersonRAT — это прямая угроза для пользователей LetsVPN. Эксплуатируя доверие к легальному сервису, вредонос эффективно проникает в системы, а многослойные техники уклонения, закрепления и использования ресурсов делают его одним из самых опасных образцов в своём классе.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: