СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
28.05.2025
#ИБ#Инфра#Облака

Рост угроз через mshta.exe: глубокий анализ современных атак

Рост угроз через mshta.exe: глубокий анализ современных атак

Современные хакеры всё чаще применяют легальные системные компоненты Windows для реализации вредоносных действий. Особенно заметным примером является mshta.exe — компонент, относящийся к категории Living-Off-The-Land бинарных файлов (LOLBin), который позволяет выполнять удалённые HTML-приложения и JavaScript прямо с URL-адресов. Недавний отчет демонстрирует резкий рост использования mshta.exe в атаках, что требует особого внимания специалистов по кибербезопасности.

Увеличение количества инцидентов

Во втором квартале 2025 года было выявлено сразу шесть подтверждённых случаев злоупотребления mshta.exe — это значительно больше, чем всего один подобный инцидент в первом квартале. Такой рост свидетельствует о том, что злоумышленники всё активнее задействуют этот инструмент для обхода стандартных средств безопасности.

Журналы, фиксирующие обращения mshta.exe к подозрительным URL, являются важным индикатором потенциальной угрозы и требуют немедленного анализа. В ходе последних расследований была обнаружена высокая степень опасности, однако все выявленные инциденты были успешно нейтрализованы.

Особенности методов атаки

Один из наиболее показательных случаев связан с попыткой подключения к домену, расположенному в Alibaba Cloud Object Storage. Целью атаки становился файл session_update.tmp. Такой выбор имени файла — известная тактика злоумышленников, поскольку файлы с расширением .tmp обычно воспринимаются как временные и безобидные, что позволяет скрывать вредоносный контент.

Файл содержал более 3,4 миллиона символов, что свидетельствует о серьёзной обфускации — мерах, направленных на запутывание аналитиков и автоматизированных систем обнаружения. Этот пример явно демонстрирует, как вредоносные скрипты могут прятаться на виду, маскируясь под обычный системный файл.

Методы анализа и результаты

Для исследования загадочного содержимого применялись различные техники:

  • Base64 декодирование;
  • шестнадцатеричное преобразование;
  • итеративное декодирование с переходом от VBScript к PowerShell.

Пошаговое расшифрование позволило выявить многочисленные обратные вызовы команд и управление, направленные на получение дополнительной вредоносной нагрузки с удалённых серверов.

Конечная функциональность вредоносного ПО была характерна для infostealer — сложного malware, способного к долговременной утечке конфиденциальных данных.

Техники обхода обнаружения

Полезная нагрузка имплементировала несколько продвинутых методов скрытности и устойчивости:

  • обход политик выполнения PowerShell (execution policies);
  • использование механизмов перманентного сохранения доступа после перезагрузки системы;
  • множественные методы кодирования, значительно усложняющие обнаружение с помощью статических сканеров.

Таким образом, даже современные автоматизированные средства требуют поддержки тщательного ручного анализа и использования специализированных платформ с функциями динамического анализа, таких как Joe Sandbox.

Роль платформы Joe Sandbox

Joe Sandbox сыграл ключевую роль в расследовании, обеспечивая визуализацию поведения вредоносного ПО во время выполнения. Платформа помогла выявить:

  • индикаторы компрометации (IOCs);
  • тактики, методы и процедуры (TTP), применяемые злоумышленниками;
  • широкие последствия атаки для целевых систем.

Это продемонстрировало, насколько важно отслеживать всю цепочку исполнения атаки, чтобы своевременно выявить и нейтрализовать комплексные угрозы.

Выводы и рекомендации

Начальное предупреждение, связанное с mshta.exe, привело к выявлению сложной системы доставки вредоносных программ, раскрывая, как злоумышленники используют продвинутые методы обфускации для сокрытия своих действий. Это подтверждает, что даже традиционные инструменты Windows, такие как mshta.exe и PowerShell, остаются эффективным оружием в арсенале современных хакеров.

Текущая ситуация подчеркивает острую необходимость в развитии надежных средств обнаружения, а также оперативных контрмер и систем реагирования на инциденты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: