СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
29.05.2025
#ИБ

Многоуровневые атаки PureHVNC RAT: новая угроза 2024 года

Многоуровневые атаки PureHVNC RAT: новая угроза 2024 года

Новые кампании с PureHVNC RAT: сложные методы заражения и таргетинг на маркетологов в индустрии красоты

Недавние наблюдения лаборатории Netskope Threat Labs выявили активизацию новых кампаний с использованием PureHVNC RAT — трояна удаленного доступа (Remote Access Trojan). В 2024 году злоумышленники использовали сложные цепочки доставки вредоносного ПО и современные техники социальной инженерии, что значительно усложняет борьбу с этим типом угроз.

Особенности методов доставки PureHVNC RAT

Выявленные цепочки заражения характеризуются многоуровневым использованием различных скриптов и технологий. Среди них:

  • Цепочка на базе Python;
  • Использование PowerShell, JavaScript и AutoIt;
  • Обфускация кода с помощью инструментов, таких как CypherIT;
  • Внедрение полезной нагрузки в память с использованием .NET framework;
  • Использование файлов LNK для первоначального запуска команд;
  • Маскировка вредоносных HTA-файлов под MP4 для обхода фильтров;
  • Активное использование base64 и GZip для кодирования и сжатия конфигурационных данных.

Эта сложная технология доставки и уклонения затрудняет обнаружение вредоносного ПО и снижает эффективность традиционных средств защиты.

Таргетинг и социальная инженерия

Целевой аудиторией кампаний, в основном, являются специалисты в области маркетинга индустрии красоты. Для привлечения жертв злоумышленники используют поддельные предложения о работе от известных брендов:

  • Bershka;
  • Fragrance Du Bois;
  • John Hardy;
  • Dear Klairs.

Подложенные PDF-файлы, оформленные под реальные вакансии, содержат скрытые механизмы запуска вредоносных исполняемых файлов, например, phom.exe, скомпилированных на AutoIt. После открытия файла пользователь непреднамеренно активирует цепочку скриптов, ведущую к загрузке PureHVNC RAT.

Техническая схема заражения

Начальная точка заражения остаётся не до конца ясной, однако крупнейшим фактором считается распространение через рассылки по электронной почте. Алгоритм заражения включает следующие этапы:

  1. Жертва запускает файл LNK, который инициирует выполнение PowerShell-команды.
  2. PowerShell декодирует сценарий, закодированный в base64, и использует командлеты Set-Clipboard и IEX для загрузки и исполнения HTA-файла.
  3. HTA-файл запускает вредоносный JavaScript, замаскированный в «ненужных» байтах, затрудняя анализ.
  4. Исполняемый файл AutoIt (phom.exe) загружает полезную нагрузку «LekRs» в определённый каталог и создаёт PowerShell-скрипт в общей папке.
  5. Для сохранения на системе создается ярлык автозагрузки SwiftWrite.url, который инициирует повторное выполнение скриптов и вредоносного JavaScript.
  6. Используется техника разделения процессов (process hollowing) для инъекции полезной нагрузки в законный процесс, позволяя обходить антивирусы, включая BitDefender.
  7. В памяти создается буфер с реализацией .NET, который загружает PureHVNC RAT.

Функциональность PureHVNC RAT и ее угрозы

PureHVNC RAT предоставляет злоумышленникам полный контроль над зараженной системой, что позволяет им:

  • Загружать и запускать дополнительные вредоносные программы и инструменты;
  • Собирать конфиденциальную информацию;
  • Выполнять удалённые команды и манипуляции с системой жертвы.

Конфигурационные данные RAT кодируются в base64 и дополнительно сжимаются с помощью GZip, что усложняет анализ трафика и обнаружение вредоносного соединения.

Выводы и рекомендации

Анализ кампаний показывает, что злоумышленники системно развивают тактики, техники и процедуры (TTP), совершенствуя методы доставки, обфускации и таргетинга. Netskope Threat Labs продолжает отслеживать эволюцию PureHVNC RAT и рекомендует организациям обратить внимание на следующие меры защиты:

  • Усиление фильтрации электронной почты и обучение сотрудников идентификации фишинговых сообщений;
  • Мониторинг PowerShell и других скриптовых движков на подозрительную активность;
  • Использование проактивных решений с возможностями детектирования обфусцированного кода и process hollowing;
  • Контроль автозагрузок и регулярный аудит системных папок;
  • Обеспечение многоуровневой защиты конечных точек и сетевого трафика.

В условиях активного развития таких угроз крайне важна своевременная диагностика и комплексный подход к обеспечению кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: