LegionLoader: Угроза от вредоносного загрузчика

LegionLoader: Угроза от вредоносного загрузчика

Источник: tehtris.com

LegionLoader, известный также как Satacom, CurlyGate и RobotDropper, представляет собой активный загрузчик вредоносных программ, который стремительно набирает популярность. За короткий срок было обнаружено более 2000 образцов этой угрозы. Кампания, связанная с LegionLoader, стартовала 19 декабря 2024 года и направлена на компании по всему миру, с особым акцентом на Бразилии, где было зафиксировано около 10% всех обнаруженных образцов.

Методы доставки LegionLoader

Основной способ доставки LegionLoader заключается в использовании метода «быстрой загрузки». Вредоносные веб-сайты, часто нелегальные платформы, перенаправляют пользователей на страницы, содержащие шифрованные zip-файлы. Эти файлы, загружаемые с сервисов типа mega.io, содержат:

  • Пароль защищённый архив 7zip, который затрудняет анализ вредоносных программ.
  • Сопроводительный файл с изображением, в котором встроен пароль.

Работа LegionLoader в системе

После извлечения, запускается MSI-файл, который инициирует выполнение obsffmpegmux.exe. Этот файл загружает вредоносную библиотеку DLL с названием obs.dll. Анализ библиотеки показывает, что она в основном содержит пустые файлы экспорта, при этом только четыре функции позволяют наблюдать содержимое, созданное для введения аналитиков в заблуждение.

Сравнительный анализ образцов obs.dll выявил:

  • Идентичные структуры функций, отличающиеся только полезной нагрузкой второго этапа.
  • Атрибуты компиляции, которые варьируются в зависимости от конкретной реализации.

Этапы эксплуатации и соединение с C2

Вредоносная программа использует буфер, который после расшифровки открывает шеллкод. Этот шеллкод запускается explorer.exe и вызывает ряд функций Windows API, таких как CreateProcessInternalA и VirtualAllocEx. Этап 2 не является частью LegionLoader, а представляет собой полезную нагрузку, которую может доставить механизм dropper.

Важно отметить, что на втором этапе вредоносная программа устанавливает связь с сервером управления (C2), который не был активен во время анализа, что ограничивает дальнейшее изучение.

Технические характеристики и устойчивость угрозы

Домен сервера C2 жестко закодирован в исполняемом файле, а строка пользовательского агента скрыта с помощью операции XOR. Вредоносная программа:

  • Генерирует случайный параметр из 10 символов для передачи на сервер C2.
  • Пытается установить соединение с помощью WinHttpSendRequest.

После успешного подключения, LegionLoader отключает перенаправление файловой системы и загружает дополнительный шеллкод, который сохраняет в виде файла .dat. Полученный шеллкод расшифровывается с использованием алгоритма XTEA и выполняется в памяти.

В дальнейшем вредоносная программа извлекает другие файлы из C2, используя URLDownloadToFileA, и переименовывает их в «svchost» в произвольно выбранный каталог, прежде чем запустить через ShellExecuteA.

Заключение

Учитывая использование rundll32 для выполнения, можно предположить, что конечная полезная нагрузка имеет формат DLL. Поскольку в ходе рассмотрения было обнаружено значительное количество вредоносных URL-адресов, связанных с этой кампанией, и каждые 12 часов фиксировались до 30 новых вредоносных сайтов, очевидно, что угроза остается устойчивой и продолжает эволюционировать.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: