СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
3 июня
#ИБ

PlugX и Mustang Panda: сложная цепочка запуска и скрытный C2

Анализ нового образца ВПО, связанного с хакерской группировкой Mustang Panda и семейством PlugX, показывает заметно усложнённую цепочку выполнения, построенную вокруг обфускации, подгрузки DLL и многоступенчатого шифрования. Исследование подчёркивает: речь идёт не просто о вредоносном файле, а о модульной инфраструктуре, где каждый компонент выполняет строго определённую функцию — от первичного запуска до установления связи с сервером управления.

Browser_Updater.exe: загрузчик под видом легитимного ПО

Начальная стадия атаки строится вокруг исполняемого файла Browser_Updater.exe. Несмотря на внешнее сходство с обычным обновляющим компонентом, он выполняет роль загрузчика, а не установщика. После запуска файл распаковывает архив, который, в свою очередь, инициирует загрузку трёх ключевых компонентов:

  • Avk.exe;
  • Avk.dll;
  • AVKTray.dat.

Именно эта связка обеспечивает дальнейшее развитие сценария атаки. Avk.exe маскируется под легитимное программное обеспечение и одновременно используется для подгрузки DLL, через которую и доставляется вредоносная нагрузка.

Многоуровневая защита полезной нагрузки

Реальный полезный груз хранится в файле AVKTray.dat и проходит через несколько этапов преобразования. Для сокрытия содержимого применяются различные алгоритмы и техники:

  • DJB2;
  • XOR 0x63;
  • ROL19;
  • RC4 с ключом VOphJo.

В конечном итоге на этапе исполнения формируется вручную отображённый 32-bit PE-файл. Именно он обеспечивает закрепление в системе: создаёт ключ запуска в реестре в директории %PUBLIC% GData, а также создаёт mutex с именем aumhYjQIQ.

Далее вредоносный компонент настраивает параметры proxy на основе пользовательских настроек Internet и инициирует связь со своим server управления по адресу fruitbrat.com:443.

Архитектура, ориентированная на уклонение от анализа

Особенность этого образца — высокая модульность. Каждый этап выполнения изолирован и выполняет собственную роль:

  • Avk.exe используется исключительно как средство подгрузки DLL;
  • процессы дешифрования и выполнения выстроены так, чтобы затруднить обнаружение;
  • цепочка запуска включает техники, рассчитанные на обход стандартных методов анализа.

Загрузчик применяет технику самостоятельного определения базового адреса PE-файла в памяти, избегая стандартных вызовов API, которые могут отслеживаться средствами безопасности. Дополнительно реализован механизм разрешения имён API: адреса функций извлекаются через XOR-кодированные строки, хранящиеся в stack. Это заметно усложняет reverse engineering и повышает устойчивость образца к анализу.

C2, proxy и имитация легитимного трафика

На следующих этапах ВПО инициализирует context, устанавливает идентичность через значения реестра и выполняет HTTP-обмены для операций C2. При этом оно считывает proxy-конфигурацию пользователя и формирует запросы, имитирующие легитимный browser-трафик. Для дополнительной маскировки используется система session tokens, которая помогает скрывать присутствие вредоносной активности в сетевой среде.

Отдельно отмечается нестандартная мера уклонения: завершение процесса диагностического инструмента Internet Explorer, что помогает избежать обнаружения при анализе сетевого трафика.

«По мере анализа данного ВПО становится ясно, что постоянный мониторинг поведенческих паттернов и цепочек выполнения может быть более эффективным, чем исключительно опора на конкретные индикаторы компрометации (IOCs)».

Почему поведенческий подход важнее IOCs

Исследование делает важный вывод: в случае подобных образцов зависимость только от IOCs недостаточна. Многоуровневая архитектура позволяет менять индикаторы для разных вариантов образца, сохраняя неизменным базовое поведение. Именно поэтому приоритет следует отдавать стратегиям обнаружения на основе поведения.

Отдельно подчёркивается ценность инструментов для извлечения и анализа конфигураций в вариантах PlugX и AVKTray. Такой подход позволяет быстрее выявлять потенциальные угрозы не по отдельным компонентам, а по схожим операционным структурам и типовым цепочкам выполнения.

Вывод

Разбор образца, связанного с Mustang Panda и PlugX, демонстрирует эволюцию вредоносных инструментов в сторону более сложной модульности, обфускации и сетевого камуфляжа. Для защиты в таких условиях ключевое значение приобретают поведенческий анализ, мониторинг цепочек выполнения и инструменты, способные выявлять не только известные IOCs, но и повторяющиеся архитектурные паттерны, характерные для семейства PlugX.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: