СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 марта
#ИБ

PureLogs (Plog): .NET-плагинная угроза PureCoder и кража криптовалют

Исследователи выявили компонент экосистемы PureCoder, именуемый PureLogs (также — «Plog»), который функционирует в модели malware-as-a-service. Вредонос был впервые найден как защищённая с помощью ConfuserEx сборка для .NET во время многоступенчатого вторжения, при этом начальные проверки на VirusTotal не дали срабатываний.

Ключевые факты

  • PureLogs — часть набора инструментов PureCoder и использует общую инфраструктуру C2 с другими компонентами, включая PureHVNC.
  • Кампания отслеживается компанией Securonix под кодовым именем «SERPENTINE#CLOUD».
  • Выделены две основные сборки: Mvfsxog.dll (плаг-инстейджер) и Qdjlj.dll (монолитный исполняемый модуль).
  • Архитектура предусматривает динамическую загрузку .NET-плагинов через рефлексию и выполнение в памяти — _без записи на диск_.
  • Для защиты используются техники увертывания от анализа, включая проверки песочниц и целевых виртуальных сред.

Технический обзор

Главный DLL, связанный с PureLogs — Mvfsxog.dll. Он не содержит собственных наступательных модулей, а выступает в роли lightweight-стейджера на основе плагинов. Основная идея — минимизировать постоянные артефакты на хосте и загружать вредоносные payload динамически через .NET плагины, которые выполняются в памяти с использованием рефлексии.

Такая архитектура позволяет избежать многих статических механизмов обнаружения, применяемых традиционными антивирусными продуктами. Для установки связи с C2 вредонос использует минимальный обмен данными и заранее заданный ключ AES для шифрования трафика. Конфигурационные параметры (host, port и т. п.) передаются в виде зашифрованных строк и расшифровываются в рантайме собственными методами, реализованными через рефлексию.

Вредонос реализует проверки на наличие песочниц и признаков виртуализации ещё до установления полноценной связи с C2 — например, анализирует биос-фингерпринтинг и системные свойства, чтобы затруднить анализ в исследовательских средах и обойти детектирование в sandboxes.

Варианты и функциональные возможности

Mvfsxog.dll — плагин-стейджер

  • Легковесная архитектура, загружающая плагины динамически;
  • Отсутствие собственных атакующих возможностей — все payload доставляются и исполняются из C2;
  • Расширенные техники уклонения от анализа (sandbox-evasion, проверки VM, BIOS-паспортизация и др.).

Qdjlj.dll — монолитный вариант

  • Монолитный бинарный модуль, в котором содержатся все операционные функции;
  • Целевое кража криптовалют — таргетирование более чем на 50 расширений браузеров и другие приложения цифровых кошельков;
  • Инъекция в процессы, запись нажатий клавиш (keylogging), мониторинг активности браузера;
  • Механизмы обеспечения постоянного доступа — создание запланированных задач и другие формы persistence;
  • Все функции находятся непосредственно в бинарнике, в отличие от плагин-архитектуры Mvfsxog.dll.

Стратегия развития и тактика уклонения

Переход от монолитной реализации (Qdjlj.dll), оставляющей заметные следы на хост-системе, к архитектуре на основе плагинов (Mvfsxog.dll) подчёркивает целенаправленные усилия злоумышленников по повышению устойчивости и снижению риска детектирования. Плагинная модель обеспечивает:

  • меньше постоянных артефактов на диске;
  • более гибкую доставку функционала через сеть;
  • возможность быстрого обновления и смены модулей без перезаписи основного исполняемого файла.

Тем не менее обе вариации сохраняют схожую операционную направленность — кража данных, криптографических ключей и обеспечение удалённого контроля над компрометированными системами.

Проблемы обнаружения и рекомендации

Анализ показал, что обе вариации демонстрируют нечеткие метки обнаружения, и отнести их к определённому семейству для сигнатурных систем оказывается затруднительно. Это иллюстрирует типичную проблему защитников при идентификации и смягчении сложных угроз, использующих динамическую загрузку и уклонение от анализа.

Рекомендуемые меры для организаций:

  • усилить мониторинг поведения процессов и сетевой активности (особенно аномалий, связанных с .NET-процессами);
  • внедрять EDR/NGAV с возможностями мониторинга исполнения в памяти и детекции рефлексии;
  • анализировать и блокировать подозрительные исходящие соединения к неизвестным C2, применять таргетированный IOC-хантинг;
  • использовать многофакторную аутентификацию и ограничивать привилегии для снижения риска последующих перемещений злоумышленников;
  • разворачивать песочницы с учетом техник уклонения (обнаружение BIOS-фингерпринтинга, имитация реальных систем).

Кампания отслеживается Securonix под кодовым именем «SERPENTINE#CLOUD».

PureLogs (Plog) — пример того, как злоумышленники адаптируют архитектуру вредоносного ПО, делая акцент на гибкости и скрытности. Переход к плагинному подходу и использование in-memory execution оставляют защитникам меньший набор традиционных индикаторов компрометации, что требует от команд реагирования смещения акцента в сторону поведенческого обнаружения и проактивного мониторинга.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: