Кампания боковой загрузки DLL через ahost.exe: libcares-2.dll и DCRat

Продолжающаяся вредоносная кампания, использующая уязвимость DLL sideloading в законном ahost.exe utility, была определена Центром перспективных исследований Trellix. В отчете описан сложный сценарий злоупотребления легитимным ПО для доставки и активации удалённого управления и других вредоносных модулей.

Злоумышленники используют технику боковой загрузки для сопряжения вредоносной библиотеки libcares-2.dll с различными подписанными версиями ahost.exe, обычно переименованными, чтобы выполнить свой код и избежать обнаружения традиционными мерами безопасности.

Как работает атака

Утилита ahost.exe входит в состав библиотеки c-ares и часто присутствует в сборках Git for Windows и приложениях, таких как GitKraken и GitHub Desktop. Уязвимость проявляется при использовании libcares-2.dll: если злоумышленник размещает вредоносную версию этой DLL в том же каталоге, что и исполняемый файл, система загрузит её вместо легитимной, что позволяет выполнить несанкционированный код в доверенном контексте.

Этот метод позволяет обойти защиту на основе сигнатур, широко применяемую многими организациями, поскольку запускаемый исполняемый файл может быть подписан и выглядеть легитимно.

Наблюдаемые образцы и география атак

• Данные телеметрии указывают на связь данного ahost.exe с несколькими вредоносными кампаниями, в том числе с участием XWorm и DCRat.
• Материалы на VirusTotal свидетельствуют о множественных находках исполняемого файла, в том числе подписанного GitKraken.
• Использование подписанного файла связывают с широким распространением в разных регионах — от Соединённых Штатов до Египта.
• Злоумышленники переименовывали ahost.exe в вводящие в заблуждение имена, например 1DOC-PDF.exe; после запуска переименованный файл загружает вредоносную библиотеку и активирует функциональность DCRat.

Сетевая активность и C2

В отчете подчёркивается наличие связи с C2, в том числе доменами, классифицированными как вредоносные. В качестве одного из наблюдаемых адресов упоминается hxxp://dgflex.duckdns.org, что подчёркивает динамичный характер инфраструктуры злоумышленников.

Методы обнаружения и рекомендации по мониторингу

В отчёте предлагаются стратегии обнаружения, акцентированные на поведенческих методах, используемых инструментами advanced endpoint detection and response (EDR). Рекомендуемые подходы включают мониторинг следующих аномалий:

• нетипичная загрузка библиотек DLL (например, появление libcares-2.dll в каталоге с переименованным ahost.exe);
• ненормальное создание процессов и запуск исполняемых файлов с вводящими в заблуждение именами;
• подозрительный сетевой трафик, в том числе обращения к известным или потенциально вредоносным доменам C2.

Отмеченная кампания демонстрирует, как злоумышленники комбинируют надёжное open-source ПО и продвинутые методы атак для широкого проникновения и закрепления, что подчёркивает необходимость постоянного мониторинга и адаптивных защитных мер.

Источник: Центр перспективных исследований Trellix (Trellix Advanced Research Center)

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.