Комплексная атака Remcos RAT с инфраструктурой APT-C-36 на DuckDNS

Недавний отчет исследователей кибербезопасности выявил сложную инфраструктуру, связанную с троянцем Remcos Remote Access Trojan (RAT), использующую ряд механизмов для обхода средств обнаружения и доставки вредоносного ПО. Особое внимание уделено домену trabajonuevos.duckdns.org, который выступает ключевым элементом в распространении Remcos и других RAT с помощью многоступенчатого процесса загрузки и внедрения.

Основные характеристики инфраструктуры и механизмов распространения

Домен trabajonuevos.duckdns.org разрешен лишь для одного IP-адреса — 45.133.180.26 — и взаимодействует через TCP-порт 3010. При этом активного прослушивания порта на хосте зафиксировано не было, что позволяет предположить, что он может использоваться в рамках VPN или службы переадресации портов, связанной с torguard.net.

Важно отметить, что с этим доменом взаимодействуют сразу пять различных дропперов в формате Visual Basic Script (VBS) с обфускацией на первом этапе (Stage 1). Они извлекают полезную нагрузку Remcos из разнообразных репозиториев Bitbucket. Данные VBS-скрипты реализуют трехэтапный процесс установки вредоносного ПО:

• Этап 1: Запутанный VBScript генерирует PowerShell-скрипт, который расшифровывает полезную нагрузку в формате Base64.
• Этап 2: PowerShell-скрипт загружает дополнительные компоненты, включая модуль для ввода памяти и непосредственно RAT.
• Этап 3: Специальный инжектор внедряет RAT непосредственно в память для последующего исполнения.

Методы маскировки и разнообразие вредоносных компонентов

Анализ показывает, что злоумышленники активно используют методы маскировки для сложных VBS-файлов, формируя кластер из 16 открытых каталогов. Это указывает на продвинутые техники уклонения от обнаружения. Значимый интерес представляет разнообразие загрузчиков на втором этапе, что ведет к установке различных RAT:

• LimeRAT
• DCRat
• AsyncRAT
• Remcos — основной различимый образец

При этом двоичные файлы чаще всего размещаются в публичных репозиториях, таких как paste.ee и Bitbucket.

Инфраструктура C2 и подозрения в отношении APT-C-36

Командно-диспетчерская инфраструктура основана на доменах в зоне duckdns.org, использующих динамическую DNS для постоянной ротации IP-адресов. Такая архитектура упрощает скрытность и устойчивость к блокировкам.

Существуют обоснованные предположения о связи исследуемой кампании с колумбийской хакерской группой APT-C-36, известной под прозвищем Blind Eagle. Примеры активности группы демонстрируют характерные особенности:

• Условно устойчивые схемы использования сильно запутанных VBS-капельниц;
• Использование широкого спектра хорошо известных RAT;
• Скоординированный подход к развертыванию вредоносного ПО и эксплуатации уязвимостей.

Дополнительные домены и масштабы кампании

Кроме trabajonuevos.duckdns.org, были выявлены и другие домены, связанные с Remcos и различными RAT, каждый со своей собственной инфраструктурой и протоколами командного управления. Среди них:

• rem25rem.duckdns.org — обмен данными через TCP-порт 1515, с несколькими IP-адресами, обнаруженными по согласованному TLS-отпечатку;
• dgflex.duckdns.org — дроппер для DCRat;
• purelogs2025.duckdns.org — ассоциирован с AsyncRAT.

Масштаб использования разнообразных VBS-загрузчиков указывает на более крупную и долговременную кампанию подводной охоты, характеризующуюся сложными техниками обфускации и устоявшимися схемами доставки вредоносных компонентов.

Выводы

Наблюдаемая инфраструктура демонстрирует признаки скоординированного и комплексного подхода к проведению хакерских операций, вероятно поддерживаемых либо самой APT-C-36, либо группами со схожими TTPs. Активное использование нескольких типов RAT, запутанных VBS-капельниц и динамических доменов duckdns.org свидетельствует об активных и продолжающихся кампаниях, представляющих серьезную угрозу для кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.