СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 марта
#ИБ

SERPENTINE#CLOUD: эволюция многослойных RAT-кампаний и обхода защиты

Серия анализов утечки SERPENTINE#CLOUD описывает сложную, адаптивную кампанию кибератак, в основе которой — набор троянов удалённого доступа (RAT), доставляемых через многоступенчатый конвейер. За 176 дней злоумышленники последовательно модифицировали инфраструктуру доставки и механизмы обфускации, развивая инструментарий в пяти заметных волнах и усложняя задачу обнаружения и анализа для защитников.

Ключевые выводы

  • Кампания включает девять семейств RAT, реализованных через шесть параллельных цепочек атак.
  • Все цепочки инициируются простым пакетным файлом, который загружает ZIP через одноразовый туннель Cloudflare.
  • ZIP содержит среду выполнения Python и загрузочные скрипты, расшифровывающие встроенный shellcode для загрузки и выполнения payload через .NET Common Language Runtime (CLR).
  • Инфраструктура развивалась в пять волновых этапов: от XOR/RC4 до AES-256-CBC с двойным XOR и техниками инъекции процессов.
  • Загрузчики целенаправленно эволюционировали: переход с интерпретируемого Python на скомпилированный байт-код с использованием обфускатора Kramer.
  • Злоумышленники применяли антикриминалистические меры, включая таргетинг родительских процессов и предотвращение перехода системы в неактивное состояние.
  • Сложная система управления ключами задаёт уникальные параметры шифрования для каждого загрузчика, что затрудняет массовый анализ.

Как устроен конвейер доставки

Последовательность действий злоумышленников выглядит единообразно для всех шести цепочек:

  • Запуск пакетного файла, который инициирует загрузку.
  • Загрузка ZIP-файла через одноразовый Cloudflare-туннель (one-time tunnel).
  • Внутри ZIP — среда выполнения Python и начальные загрузочные скрипты.
  • Скрипты расшифровывают встроенный shellcode и загружают payload через .NET CLR.
  • Дальнейшее выполнение payload включает техники инъекции и маскировки, чтобы избежать обнаружения.

«Все цепочки атак инициировались простым пакетным файлом, который загружает ZIP-файл через одноразовый туннель Cloudflare.»

Эволюция по волнам — технические различия

За наблюдаемые 176 дней инфраструктура претерпела пять основных волновых обновлений, каждое из которых повышало скрытность и устойчивость:

  1. Первая волна

    • Шифрование: XOR и RC4.
    • Загрузчики: Python 3.14, ориентированы на прямое выполнение в процессе Python.
    • Методы исполнения: выполнение в процессе Python без активной инъекции в сторонние процессы.
  2. Вторая и третья волны

    • Миграция на Python 3.12.
    • Введение методов инъекции раннего «early bird» APC.
    • Значительное увеличение размеров файлов из‑за слоёв обфускации.
  3. Четвёртая и пятая волны

    • Использование обфускатора Kramer и переход на скомпилированный байт‑код.
    • Переход на AES-256-CBC с дополнительным двойным XOR.
    • Применение техник инъекции процессов и выполнения payload в приостановленном процессе explorer.exe для повышения скрытности.

Шифрование, обфускация и управление ключами

Кампания демонстрирует эволюцию от простых алгоритмов к стойким схемам:

  • Исходно использовались XOR и RC4; затем внедрён AES-256-CBC.
  • Применялись комбинации: двойной XOR + AES для усложнения статического анализа.
  • Система управления ключами назначает уникальные параметры шифрования для каждого загрузчика, что препятствует однотипному обнаружению и расшифровке.
  • Обфускация на уровне байт‑кода (Kramer) усложняет обратную разработку и увеличивает размеры артефактов.

Методы уклонения и антикриминалистические меры

Злоумышленники применяли широкий набор приёмов для обхода средств защиты и скрытия следов:

  • Выполнение payload в приостановленном процессе explorer.exe для уменьшения подозрительности.
  • Инъекция раннего APC и другие техники инъекции в целевые процессы.
  • Методы патчинга во время выполнения, направленные на отключение AMSI и WLDP.
  • Целенаправленная очистка по отношению к определённым родительским процессам для удаления следов активности.
  • Сценарии, препятствующие переходу хоста в неактивное состояние (для поддержания persistent‑состояния и работы задач).

Поведение вредоносных компонентов

Наблюдаемые индикаторы поведения включают:

  • Создание и запуск процесса python.exe из нестандартных путей.
  • Манипуляция правами выполнения через вызовы типа VirtualProtect.
  • Runtime patching модулей безопасности (AMSI, WLDP) с целью обхода сканирования.
  • Загрузка payload через .NET CLR, что позволяет запускать сложный функционал внутри управляемого окружения.
  • Шесть параллельных цепочек доставки, каждая из которых внедряла собственные вариации обфускации и шифрования.

Последствия для организаций и рекомендации по защите

Кампания служит примером того, как злонамеренные акторы комбинируют простые начальные векторы с глубокой эволюцией на последующих этапах. Для уменьшения риска и повышения обнаружения рекомендуется:

  • Мониторинг аномального запуска python.exe, особенно если процесс инициируется не из ожидаемых директорий или родителями являются системные процессы.
  • Отслеживание сетевых соединений к Cloudflare и подозрительных одноразовых туннелей; внедрить блокировку/анализ нестандартного TLS/TCP-трафика.
  • Проверка целостности и контроль прав доступа для исполняемых архивов и сред выполнения (ZIP-архивы, встроенные runtimes).
  • Развертывание EDR с возможностью детектирования техник инъекции, раннего APC и выполнения в приостановленных процессах.
  • Мониторинг API вызовов типа VirtualProtect и попыток патчинга модулей безопасности; поднять приоритет реагирования на такие события.
  • Усиление контроля над скриптовой автоматизацией: ограничить исполнение неподписанных скриптов и обеспечить application control.
  • Проверка и защита механизмов AMSI и WLDP; внедрить дополнительные многоуровневые проверки целостности.
  • Организация процесса ротации ключей и мониторинга необычной криптографической активности для обнаружения необычных схем шифрования.

Вывод

SERPENTINE#CLOUD демонстрирует скоординированный и эволюционный подход злоумышленников: от простого пакетного файла до сложной, многослойной экосистемы доставки и выполнения RAT. Использование одноразовой инфраструктуры, уникальных ключей шифрования и постоянных обновлений загрузчиков делает эту кампанию особенно трудной для обнаружения. Защитникам важно сосредоточиться на поведенческих индикаторах, сетевых аномалиях и контроле над исполнением сред, чтобы своевременно обнаруживать и нейтрализовать такие многоволновые операции.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: