LegionLoader: Угроза от вредоносного загрузчика

Источник: tehtris.com
LegionLoader, известный также как Satacom, CurlyGate и RobotDropper, представляет собой активный загрузчик вредоносных программ, который стремительно набирает популярность. За короткий срок было обнаружено более 2000 образцов этой угрозы. Кампания, связанная с LegionLoader, стартовала 19 декабря 2024 года и направлена на компании по всему миру, с особым акцентом на Бразилии, где было зафиксировано около 10% всех обнаруженных образцов.
Методы доставки LegionLoader
Основной способ доставки LegionLoader заключается в использовании метода «быстрой загрузки». Вредоносные веб-сайты, часто нелегальные платформы, перенаправляют пользователей на страницы, содержащие шифрованные zip-файлы. Эти файлы, загружаемые с сервисов типа mega.io, содержат:
- Пароль защищённый архив 7zip, который затрудняет анализ вредоносных программ.
- Сопроводительный файл с изображением, в котором встроен пароль.
Работа LegionLoader в системе
После извлечения, запускается MSI-файл, который инициирует выполнение obsffmpegmux.exe. Этот файл загружает вредоносную библиотеку DLL с названием obs.dll. Анализ библиотеки показывает, что она в основном содержит пустые файлы экспорта, при этом только четыре функции позволяют наблюдать содержимое, созданное для введения аналитиков в заблуждение.
Сравнительный анализ образцов obs.dll выявил:
- Идентичные структуры функций, отличающиеся только полезной нагрузкой второго этапа.
- Атрибуты компиляции, которые варьируются в зависимости от конкретной реализации.
Этапы эксплуатации и соединение с C2
Вредоносная программа использует буфер, который после расшифровки открывает шеллкод. Этот шеллкод запускается explorer.exe и вызывает ряд функций Windows API, таких как CreateProcessInternalA и VirtualAllocEx. Этап 2 не является частью LegionLoader, а представляет собой полезную нагрузку, которую может доставить механизм dropper.
Важно отметить, что на втором этапе вредоносная программа устанавливает связь с сервером управления (C2), который не был активен во время анализа, что ограничивает дальнейшее изучение.
Технические характеристики и устойчивость угрозы
Домен сервера C2 жестко закодирован в исполняемом файле, а строка пользовательского агента скрыта с помощью операции XOR. Вредоносная программа:
- Генерирует случайный параметр из 10 символов для передачи на сервер C2.
- Пытается установить соединение с помощью WinHttpSendRequest.
После успешного подключения, LegionLoader отключает перенаправление файловой системы и загружает дополнительный шеллкод, который сохраняет в виде файла .dat. Полученный шеллкод расшифровывается с использованием алгоритма XTEA и выполняется в памяти.
В дальнейшем вредоносная программа извлекает другие файлы из C2, используя URLDownloadToFileA, и переименовывает их в «svchost» в произвольно выбранный каталог, прежде чем запустить через ShellExecuteA.
Заключение
Учитывая использование rundll32 для выполнения, можно предположить, что конечная полезная нагрузка имеет формат DLL. Поскольку в ходе рассмотрения было обнаружено значительное количество вредоносных URL-адресов, связанных с этой кампанией, и каждые 12 часов фиксировались до 30 новых вредоносных сайтов, очевидно, что угроза остается устойчивой и продолжает эволюционировать.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



