СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 марта
#ИБ

PureCrypter: .NET-криптер Erqcke в экосистеме PureCoder

Коммерческий .NET-криптер PureCrypter, интегрированный в экосистему PureCoder malware-as-a-service, используется для доставки вредоносных полезных нагрузок и продолжает представлять серьезную угрозу для организаций. Недавний анализ образцов, связанных с загрузчиками, известными как Erqcke, выявил сочетание мощной обфускации и модульной архитектуры доставки, что осложняет обнаружение и анализ атакующих операций.

Краткое содержание расследования

Исследование, сосредоточенное на двух загрузчиках Erqcke из кампании, отслеживаемой компанией Securonix под названием SERPENTINE#CLOUD, показывает следующее:

  • Загрузчики представляют собой приложения PE32 .NET (x86), использующие ConfuserEx для обфускации.
  • Основной метод загрузки полезной нагрузки — внедрение сборок в память с помощью Assembly.Load(byte[]) и вызов через рефлексию конкретных классов и методов из встроенных ресурсов.
  • Агрессивные техники обфускации, включая инъекции «мертвого» кода и выравнивание управляющего потока, направлены на запутывание реверс-инженеров.
  • Поведенческие индикаторы включают использование 3DES для дешифрования и GZip для распаковки — стандартный путь извлечения полезной нагрузки.
  • Загрузчики поставляют варианты PureLogs, среди которых:
    • плагинный стаджер Mvfsxog.dll — не обладает встроенными наступательными возможностями и ожидает команд от C2;
    • «толстый» клиент Qdjlj.dll — включает функции кражи crypto-кошельков, сбора учётных данных и эксфильтрации данных.
  • Между ранними версиями и самой новой сборкой ноября зафиксированы заметные улучшения, повышающие устойчивость и эффективность кампании.

Технические особенности и методы уклонения

Анализ показывает, что авторы делают ставку на сочетание .NET-платформы и известных инструментов обфускации для усложнения статического анализа. Ключевые технические моменты:

  • ConfuserEx — применяется для сокрытия логики и защиты от декомпиляции;
  • Загрузка сборок в память через Assembly.Load(byte[]) и последующий вызов через рефлексию — позволяет обходить защитные механизмы на основе файловой репутации;
  • Инъекции «мертвого» кода и непрозрачные предикаты — увеличивают сложность трассировки выполнения и автоматизированного анализа;
  • Выравнивание управляющего потока (control-flow flattening) — дополнительный барьер для реверс-инжиниринга;
  • Механизмы сохранения и устойчивости включают подходы, похожие на AutoIt-базированные сценарии, что повышает долговечность присутствия в среде жертвы.

Поведенческие индикаторы и сценарии эксплуатации

Поведенческая картина загрузчиков ясно указывает на типичный для MaaS паттерн: малый начальный стейджер для получения команд и доставляющий модульные плагины/клиенты для выполнения конкретных действий.

  • Дешифрование данных с помощью 3DES и последующая распаковка через GZip — этапы извлечения полезной нагрузки.
  • Рефлективная загрузка и исполнение встроенных ресурсов — уменьшает следы на диске, затрудняет обнаружение через файловые сканеры.
  • Модульность доставки позволяет получать тонко направленные плагины (stager → plugin → full client), что расширяет набор атакующих возможностей.

«Эта инфраструктура представляет собой значительную угрозу… благодаря возможностям по обфускации, модульной доставке зарядов и разнообразным наступательным возможностям.»

Последствия для безопасности и рекомендации

Учитывая сочетание уклончивых техник и четко модульной архитектуры, такая экосистема угроз способна долгое время оставаться в добыче в сетях жертв и эскалировать ущерб по мере доставки более сложных модулей.

Практические рекомендации для организаций:

  • Усилить мониторинг поведения процессов .NET в средах исполнения (контроль странных вызовов рефлексии, загрузок сборок в память и нестандартных потоков выполнения).
  • Добавить правила детекции для комбинации 3DES + GZip внутри процессов, а также наблюдать за загрузками модулей без явных файловых артефактов.
  • Блокировать известные индикаторы компрометации на сетевом уровне и отслеживать попытки соединения с C2-инфраструктурой.
  • Проверять конечные точки на наличие нестандартных библиотек (например, Mvfsxog.dll, Qdjlj.dll) и искать признаки AutoIt-подобных механизмов сохранения.
  • Обеспечить актуальность EDR/AV-сервисов и настроить реакцию на поведенческие аномалии, а не только сигнатуры.
  • Ограничить привилегии приложений и пользователей, минимизировать количество исполняемых сценариев из непроверенных источников.

Вывод

PureCrypter, действующий в рамках PureCoder, и загрузчики семейства Erqcke демонстрируют зрелую, развивающуюся экосистему угроз, совмещающую сильную обфускацию и модульную доставку полезной нагрузки. Несмотря на то что в некоторых системах обнаружения показатели могут быть низкими, поведение этих загрузчиков при доставке полезной нагрузки и последующей эксплуатации явно указывает на злонамеренные цели. Организациям следует учитывать такие методы при проработке стратегий защиты и реагирования.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: