СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:24
#ИБ

Salat Stealer: скрытный RAT с кражей данных и C2 на QUIC

Salat Stealer — это сложная Trojan программа класса RAT, написанная на языке Go и совмещающая функции стилера, удалённого администрирования и пост-эксплуатации. В отличие от типичных инфостилеров, эта вредоносная платформа работает как полноценный фреймворк, рассчитанный на устойчивое закрепление в системе, скрытность и гибкое управление с сервера C2.

Что умеет Salat Stealer

Функциональность Salat Stealer выходит далеко за рамки кражи учётных данных. По сути, речь идёт о многоцелевом инструменте, который сочетает возможности удалённого доступа, перехвата информации и расширенного контроля над заражённым устройством.

  • каналы управления C2 на основе WebSocket и QUIC;
  • удалённый доступ к shell;
  • streaming рабочего стола и видеопотоков с webcam;
  • keylogging;
  • кража данных из clipboard;
  • маршрутизация через SOCKS5 proxy;
  • выполнение команд, загрузка файлов и повышение привилегий.

Такой набор возможностей делает Salat Stealer не просто стилером, а комплексным инструментом для компрометации системы и последующего управления ею.

Скрытность и обфускация

Для усложнения анализа вредоносное ПО использует шестимодальную технику обфускации строк и механизм вывода ключей, завязанный на параметры конкретной машины. Это означает, что расшифровка части данных привязывается к hostname и hardware profile жертвы.

При запуске Salat Stealer извлекает свой путь к файлу и получает начальный ключ расшифровки из hardcoded строки. Далее он используется вместе с другими ключами для расшифровки данных с применением AES-128-GCM и XOR.

Подобная архитектура заметно затрудняет static analysis и повышает устойчивость malware к исследованию.

Идентификация жертвы и повышение привилегий

Отдельного внимания заслуживает способ идентификации заражённой системы. Salat Stealer объединяет данные, специфичные для жертвы, в hash value, который используется как identifier агента. Этот идентификатор передаётся на C2 server вместе с каждым beaconing-запросом.

Кроме того, вредоносное ПО пытается повысить привилегии, чтобы получить более широкий доступ к compromised system и расширить набор доступных операций.

Режимы работы

Salat Stealer может работать в разных режимах в зависимости от command-line arguments. Это позволяет ему действовать либо как keylogger, либо как полноценный RAT.

Иными словами, оператор может адаптировать поведение вредоносного кода под конкретную задачу — от скрытого сбора нажатий клавиш до полного удалённого контроля над системой.

Устойчивая инфраструктура C2

Инфраструктура управления Salat Stealer отличается высокой устойчивостью. Для защиты адресов C2 используются:

  • double encryption URL-адресов C2;
  • mechanisms резервирования с использованием TON blockchain;
  • RSA encryption для защиты связи с сервером.

Такой подход не только помогает получать оперативные команды, но и обеспечивает возможность динамического восстановления связи, если основные C2 endpoints будут скомпрометированы. При этом перехваченные данные остаются недоступными без private keys.

Архитектура Salat Stealer рассчитана не на разовую кражу данных, а на длительное присутствие в системе и устойчивое удалённое управление.

Что именно похищает вредоносное ПО

Salat Stealer ориентирован на широкий спектр конфиденциальной информации. Он собирает данные с системы жертвы, включая:

  • browser data;
  • encrypted credentials;
  • данные из clipboard;
  • результаты keylogging;
  • прочую чувствительную информацию, доступную на заражённом устройстве.

Похищенные данные упаковываются в ZIP archives и отправляются обратно на C2 server.

Закрепление в системе

Для сохранения присутствия на заражённых устройствах Salat Stealer применяет несколько техник persistence:

  • копирование самого себя в места, замаскированные под legitimate system files;
  • создание scheduled tasks;
  • изменение registry settings для запуска при входе пользователей.

Каждый из этих механизмов повышает вероятность продолжительной работы вредоносного ПО и усложняет его обнаружение и удаление.

Вывод

Salat Stealer демонстрирует характерную для современных угроз тенденцию: соединение функций стилера, RAT и post-exploitation toolkit в одном решении. Использование Go, WebSocket, QUIC, RSA, AES-128-GCM, а также резервирования через TON указывает на заранее продуманную архитектуру, ориентированную на скрытность, устойчивость и долговременный контроль над скомпрометированными системами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: