СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 марта
#ИБ

HellsUchecker: x64 бэкдор в памяти, C2 через BNB Smart Chain

Компактный нативный x64 бэкдор HellsUchecker размером 28 КБ демонстрирует высокую степень инженерии и продвинутые техники уклонения. По информации из отчёта, его 10-ступенчатая схема атаки начинается с обманчивой приманки ClickFix, имитирующей CAPTCHA от Cloudflare, и заканчивается полезной нагрузкой, полностью резидентной в памяти, которая связывается с сервером управления и контроля — C2 — по HTTPS.

Как проходит атака — краткая карта этапов

  • Жертву перенаправляют на фишинговую страницу h01-captcha.sbs, имитирующую легитимный интерфейс CAPTCHA.
  • После взаимодействия странице предлагается выполнить вредоносную командную строку: payload из буфера обмена запускает системную утилиту finger.exe на порту 79.
  • finger.exe загружает вредоносные команды, скрытые в специально сформированном файле .plan с вредоносного сервера.
  • Далее payload отключает рабочий стол (explorer.exe), загружает легитимный пакет встроенного Python, замаскированный под PDF, и выполняет вторичный payload через скрипт, закодированный в base64.
  • Финальный полезный груз создаётся динамически в памяти и никогда не записывается на диск — что значительно осложняет обнаружение традиционными методами.

Техники уклонения и скрытности

HellsUchecker сочетает сразу несколько продвинутых приёмов для обхода средств защиты:

  • 10-ступенчатая цепочка доставки, замаскированная под обычное веб-взаимодействие (CAPTCHA).
  • 26 проверок на анти-песочницу: оценка доступной ОЗУ, дискового пространства и наличия известных средств безопасности.
  • Параллельные потоки, генерирующие ложный сетевой трафик для маскировки реальных коммуникаций.
  • Техника инъекции под названием Hell’s Gate, позволяющая выполнять shellcode напрямую через прямые системные вызовы, минуя стандартные Windows API и снижая вероятность срабатывания механизмов мониторинга.
  • Полная резидентность в памяти: полезный груз создаётся как динамически сгенерируемый исполняемый файл и не пишется на диск.

«Полезный груз полностью загружается в память и создаётся так, чтобы существовать только как динамически сгенерируемый исполняемый файл, никогда не записываемый на диск.»

Инновации в C2: использование блокчейна

Одна из ключевых особенностей — использование BNB Smart Chain для маскировки деталей C2. Конфигурация внедряется в блокчейн с помощью смарт‑контракта, а механизм дешифрования опирается на основанный на времени nonce, что добавляет динамический элемент безопасности и усложняет статический анализ.

Через блокчейн злоумышленники могут:

  • публиковать обновления конфигурации, устойчивые к удалению;
  • скрывать адреса и параметры C2 за транзакциями в публичной сети;
  • динамически изменять инфраструктуру управления без прямых соединений с традиционными серверами.

Операционная устойчивость и распространение

Backdoor спроектирован с прицелом на длительное присутствие в системе:

  • Механизмы persistence: создание копий начального BAT‑файла в различных скрытых директориях.
  • При перезагрузке система может повторно инициировать процесс инфекции и получать последние конфигурации от C2, распространяемых через обновления блокчейна.
  • Инфраструктурные следы зафиксированы в нескольких странах, что указывает на масштаб и устойчивость кампании.

Почему это опасно

HellsUchecker представляет собой сочетание нескольких факторов, повышающих риск и сложность реагирования:

  • Минимальный размер (28 КБ) и нативный x64‑формат затрудняют статический анализ.
  • Отсутствие файловых артефактов в конечном этапе усложняет детектирование по сигнатурам.
  • Использование публичного блокчейна для C2 делает инфраструктуру устойчивой и трудноотслеживаемой традиционными методами.
  • Многократные проверки анти-песочницы и обходы API повышают вероятность успешного развертывания в реальных системах.

Рекомендации по защите

  • Усилить фильтрацию фишинговых страниц и проверку исходящих команд, связанных с clipboard‑операциями.
  • Мониторить и ограничивать запуск необычных системных утилит (например, finger.exe) и нестандартных сетевых соединений на порты, не типичные для этих программ.
  • Внедрять поведенческий анализ памяти и детектирование инъекций через прямые системные вызовы (повышенное внимание к техникам, схожим с Hell’s Gate).
  • Отслеживать аномальные операции с Python‑пакетами и выполнение закодированных base64 скриптов.
  • Рассматривать мониторинг активности в публичных блокчейнах применительно к возможным индикаторам компрометации и C2‑каналам.

Вывод

HellsUchecker — хорошо спроектированная и технологически продвинутая угроза: сочетание многоступенчатой доставки, продвинутых техник уклонения и использование блокчейна в роли скрытого канала управления делает её серьёзным вызовом для SOC и CERT‑команд. Для успешного противодействия требуется мультислойный подход: от улучшения фильтрации фишинга до внедрения инструментов поведенческой детекции в памяти и мониторинга нетипичных блокчейн‑транзакций, связанных с инфраструктурой угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: