СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:30
#ИБ

Pulsar RAT: внедрение в память, шифрование Chaskey и слежка

Специалисты по кибербезопасности выявили многоэтапную вредоносную кампанию, в ходе которой в целевых средах развернулся троянец удалённого доступа «Pulsar RAT». Зловред использует сочетание современных техник уклонения и исполнения в памяти, что затрудняет его обнаружение традиционными средствами защиты.

«Цепочка заражения начинается с замаскированного пакетного файла, который настроен на сохранение с помощью раздела реестра для каждого пользователя.»

Ключевые находки

  • Инициатор заражения — замаскированный batch-файл с per-user регистрацией в реестре и встроенным PowerShell-загрузчиком.
  • Доставка и исполнение полезной нагрузки реализованы преимущественно in-memory, с минимальными артефактами на диске.
  • Внедрение кода в процессы (как правило, svchost.exe) через Win32 API и выделение памяти под shellcode.
  • Миграция процессов и мониторинг повышают устойчивость и позволяют переключаться на более «безобидные» процессы, например explorer.exe.
  • Использование фреймворка Donut для исполнения дополнительных встраиваемых полезных нагрузок, зашифрованных блочным шифром Chaskey.
  • Развиты механизмы антианализа: обнаружение отладчиков и проверки на наличие VM/изолированных сред.
  • Функции разведки и эксфильтрации: перечисление учётных записей и прав, мониторинг буфера обмена на предмет адресов криптокошельков, удалённая загрузка данных с использованием API популярных платформ обмена сообщениями.
  • Возможности наблюдения включают доступ к веб-камере и съёмку аудио через Windows Core Audio API.
  • В памяти загружаются модули Common и Stealer37, причём Stealer37 предполагаемо отвечает за массовую утечку данных из приложений и сервисов.

Как реализуется цепочка заражения

Атака начинается с замаскированного пакетного файла (batch), который при запуске записывает свою конфигурацию в реестр пользователя, минимизируя следы на диске. Файл инициирует встроенный PowerShell-загрузчик, который извлекает скрытую директорю и payload, закодированный в Base64. После декодирования скрипт PowerShell содержит массив байтов, подвергающийся побитовой операции XOR, и затем инициирует процедуру инъекции кода в целевой процесс.

Эта процедура включает установку уровня взаимодействия Win32 для вызова ключевых Windows API, выделение памяти в целевом процессе (как правило, svchost.exe) и запись shellcode. В дальнейшем вредонос умеет мигрировать между процессами, чтобы сохранить устойчивость и снизить подозрительность своего поведения.

Методы скрытности и антианализа

Pulsar RAT применяет несколько слоёв скрытности:

  • Исполнение полезной нагрузки полностью в памяти (in-memory), минимизирующее дисковые артефакты.
  • Использование living-off-the-land при помощи легитимных инструментов (в первую очередь PowerShell).
  • Фреймворк Donut облегчает запуск дополнительных payload’ов из памяти.
  • Шифрование загружаемых компонентов блочным шифром Chaskey для усложнения статического анализа и перехвата.
  • Подпрограммы анти-отладки и проверки среды, которые препятствуют выполнению в песочницах и виртуальных машинах.

Разведка, наблюдение и эксфильтрация

Функциональность вредоносного ПО охватывает широкий спектр целей сбора данных и наблюдения:

  • Перечисление учётных записей и оценка привилегий для принятия решения о дальнейших действиях (установка через Scheduled Tasks, добавление записей в реестр и т.д.).
  • Мониторинг буфера обмена на предмет адресов криптовалютных кошельков и регистрация таких совпадений для отправки на командный сервер.
  • Доступ к веб-камере и стриминг видео в реальном времени; захват аудио через Windows Core Audio API.
  • Эксфильтрация данных — через API популярных платформ обмена сообщениями и автоматизированные скрипты, использующие внешние сервисы для отправки украденной информации.

Модули в памяти: Common и Stealer37

По результатам анализа два ключевых модуля загружаются и исполняются в памяти:

  • Common — базовый модуль с общими библиотеками и функционалом управления.
  • Stealer37 — модуль, ориентированный на массовый сбор данных из приложений и сервисов, по всей видимости отвечающий за основную часть утечек.

Вывод

Обнаруженная кампания характеризуется сочетанием проверенных методов скрытности (in-memory, living-off-the-land), продвинутых средств инъекции и устойчивости, а также широкого набора возможностей по разведке и эксфильтрации. Наличие функционала для доступа к камере и аудио, мониторинга буфера обмена и загрузки модулей в память делает угрозу серьёзной как для корпоративных, так и для пользовательских сред.

Рекомендация для специалистов по безопасности: усилить мониторинг событий PowerShell, контролировать поведение процессов (особенно инъекции в svchost.exe и миграцию в explorer.exe), ограничить использование скриптов здесь, где это возможно, и проверять сетевую активность на необычные интеграции с внешними мессенджерами и API-сервисами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: