СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:24
#ИБ

Operation SilentCanvas: скрытая атака через поддельный JPEG и ScreenConnect

Хакерская кампания Operation SilentCanvas демонстрирует, как современные злоумышленники все чаще используют доверенное программное обеспечение и сложные многоэтапные схемы атаки для скрытого закрепления в корпоративных сетях. По данным отчета, в центре операции — PowerShell-package, замаскированный под файл sysupdate.jpeg, а также модифицированная версия ConnectWise ScreenConnect, обеспечивающая постоянный удаленный доступ.

Как работает атака

Первичное заражение, согласно отчету, начинается с методов социальной инженерии. Злоумышленники используют фишинговые письма и вредоносные вложения, рассчитывая на доверие пользователей. Маскировка под изображение JPEG позволяет обойти базовые механизмы проверки расширений файлов и повышает вероятность запуска вредоносного кода.

После открытия файла вредоносное ПО запускает цепочку загрузки компонентов и создает среду для дальнейшего развертывания. В процессе атаки используются:

  • csc.exe — Microsoft .NET compiler для динамической компиляции дополнительных вредоносных загрузок;
  • загрузка компонентов с серверов, контролируемых злоумышленниками;
  • троянизированная версия ScreenConnect для скрытых операций.

Техники уклонения и повышение привилегий

Operation SilentCanvas выделяется набором продвинутых техник уклонения от обнаружения. В отчете отмечаются:

  • обход интерфейса сканирования антивирусного ПО (AMSI);
  • выполнение кода в памяти;
  • использование living-off-the-land (LOLBin) исполняемых файлов;
  • безфайловое повышение привилегий через подмену реестра с участием ComputerDefaults.exe;
  • использование легитимных подписанных бинарных файлов для маскировки активности.

Отдельно подчеркивается, что вредоносное ПО может получать повышенные привилегии без вызова запросов UAC. Это делает атаку особенно опасной: пользователь не видит очевидных признаков компрометации, а защита не всегда фиксирует момент эскалации прав.

Функциональность модифицированного ScreenConnect

Модифицированный фреймворк ScreenConnect обеспечивает злоумышленникам широкий набор возможностей для скрытого контроля над скомпрометированной системой. Среди них:

  • перехват учетных данных;
  • выполнение удаленных команд;
  • захват экрана;
  • мониторинг audio;
  • расширенные функции наблюдения за действиями пользователя.

Связь с инфраструктурой злоумышленников, как указано в отчете, осуществляется по зашифрованным каналам с использованием нестандартных портов. Это усложняет выявление трафика и затрудняет блокировку управляющих серверов.

Закрепление в системе и адаптация к среде

После запуска вредоносное ПО создает постоянную Windows Service, замаскированную под OneDriveServers. Такой подход обеспечивает сохранение доступа даже после перезагрузки системы.

Кроме того, вредоносное ПО перечисляет установленные решения безопасности, чтобы адаптировать свою активность под конкретную среду. По сути, это признак высокой операционной зрелости кампании: вредоносный код не действует шаблонно, а пытается учитывать конфигурацию защиты на зараженном хосте.

Риски для организаций

Архитектура Operation SilentCanvas указывает на фокус злоумышленников на скрытности, устойчивости и долгосрочном контроле над инфраструктурой жертвы. Отчет отдельно выделяет:

  • децентрализованную инфраструктуру управления;
  • широкие возможности сбора учетных данных;
  • фреймворк для lateral movement внутри скомпрометированных сетей;
  • потенциальную подготовку к краже данных и шпионажу;
  • риск последующего развертывания ransomware.

Сочетание многоэтапной доставки, living-off-the-land техник и постоянного закрепления делает кампанию особенно опасной для enterprise-среды. Такие операции редко ограничиваются одним хостом: их цель — получить устойчивый плацдарм внутри сети и использовать его для дальнейшего развития атаки.

Вывод

Operation SilentCanvas отражает устойчивый тренд в киберпреступной среде: злоумышленники все активнее злоупотребляют доверенным программным обеспечением и используют модульные фреймворки для скрытого доступа к скомпрометированным системам. В данном случае под видом обычного JPEG и легитимных инструментов атака выстраивает сложную цепочку компрометации, рассчитанную на длительное присутствие в инфраструктуре.

Для организаций это означает необходимость усиленного контроля вложений, проверки нестандартной активности PowerShell, мониторинга создания подозрительных Windows Service и анализа аномалий в сетевом трафике.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: