12.09.2025

Servicenow-BNM-Verify.iso: вредоносное ПО с Azure C2 и DLL side-loading

28 августа 2025 года исследователи обнаружили неустановленное вредоносное ПО, упакованное в образ Servicenow-BNM-Verify.iso, загруженное из Малайзии. Файл показал очень низкий уровень детекции на VirusTotal, что позволило злоумышленникам избежать раннего обнаружения и начать использование законной облачной инфраструктуры для управления компрометацией.

Ключевые факты

Дата обнаружения: 28.08.2025
Имя вредоносного образа: Servicenow-BNM-Verify.iso
Источник загрузки: Малайзия
Низкая детекция на VirusTotal
Используемые технологии: DLL side-loading, LoadLibraryW, обфусцированный shellcode, встроенная DLL-полезная нагрузка
Инфраструктура C2: облачные сервисы — в частности Azure (используются функции/возможности Azure для операций C2)

Механизм заражения и укрытия

Анализ показал применение классического, но всё ещё эффективного приема — DLL side-loading. Вредоносная логика размещается в библиотеке libwaapi.dll, которая находится рядом с доверенным исполняемым файлом PanGpHip.exe. При запуске легитимного исполняемого файла библиотека загружается стандартным API LoadLibraryW, и в результате выполняется скрытый вредоносный код.

«В данном сценарии libwaapi.dll действует как носитель вредоносного кода, выполняя вредоносные функции при динамической загрузке через легитимный исполняемый файл с помощью метода LoadLibraryW».

Этот подход позволяет злоумышленникам воспользоваться доверием к легитимному процессу, затрудняя обнаружение на уровне сигнатурных антивирусов и упрощая обход некоторых мер защиты, ориентированных на мониторинг внешних бинарников.

Полезная нагрузка и методы уклонения от анализа

Вредоносная полезная нагрузка содержит запутанный (обфусцированный) shellcode, предназначенный для загрузки встроенной DLL. При просмотре в шестнадцатеричном редакторе видно, что встроенную полезную нагрузку найти возможно, но она требует предварительной обработки — преобразования и/или декодирования — прежде чем её можно будет выполнить. Другими словами, это не чистый переносимый исполняемый файл (PE) прямой структуры, что усложняет автоматический анализ и немедленное исполнение в песочнице.

Такая конструкция даёт две ключевые преимущества злоумышленникам:

затруднение статического анализа и автоматического извлечения полезной нагрузки;
возможность отложенной или условной деобфускации при выполнении, что снижает шанс обнаружения в dynamic-analysis средах.

Использование облачных сервисов для C2

Вредоносное ПО использует облачные сервисы, в частности возможности Azure, для операций командования и контроля (C2). Применение легитимной облачной инфраструктуры даёт киберпреступникам следующие преимущества:

высокая доступность и масштабируемость каналов связи;
снижение подозрительности трафика при использовании популярных облачных доменов и сервисов;
возможность быстрой смены точек управления без явной инфраструктуры на собственных серверах.

Угрозы для организаций и рекомендации по защите

Сочетание DLL side-loading, обфусцированного shellcode и облачных C2 делает обнаружение и реагирование более сложным. Организациям рекомендуется принять следующие превентивные и детективные меры:

Внедрить поведенческий мониторинг процессов: отслеживать нестандартные загрузки DLL (в частности загрузки библиотек рядом с PanGpHip.exe) и вызовы LoadLibraryW из неожиданных контекстов.
Проверить и заблокировать/пометить подозрительные образы ISO и файлы с именем Servicenow-BNM-Verify.iso, полученные из ненадёжных источников.
Мониторить использование облачных сервисов: аномалии в обращениях к ресурсам Azure, отсутствие привязки к известным рабочим процессам, необычные временные паттерны соединений.
Проводить регулярный анализ целевых файлов в изолированных средах с возможностью декодирования встроенной полезной нагрузки (включая ручной просмотр в hex-редакторе и попытки декомпрессии/деобфускации).
Развернуть контроль целостности и белые списки для критичных исполняемых файлов и библиотек; ограничить права процессов, чтобы снизить привилегии при попытках загрузки сторонних библиотек.
Разработать YARA-правила и сигнатуры по IOCs: имена файлов, имена DLL, специфические паттерны obfuscated shellcode и характерные вызовы API.
Обновлять систему обнаружения угроз и обмениваться информацией об индикаторах компрометации (IOC) с профильными центрами реагирования.

Индикаторы компрометации (IOCs)

Файл: Servicenow-BNM-Verify.iso
Исполняемый файл рядом с вредоносной DLL: PanGpHip.exe
Вредоносная библиотека: libwaapi.dll
Используемый API для загрузки: LoadLibraryW
Сеть/C2: обращения к инфраструктуре Azure (аналоговые/функции)

Вывод

Обнаружение образа Servicenow-BNM-Verify.iso показывает, что классические техники типа DLL side-loading в сочетании с продвинутой обфускацией и использованием облачных C2 остаются эффективным набором инструментов для атакующих. Низкий уровень детекции на VirusTotal подчёркивает необходимость усиления поведенческого анализа, контроля целостности и тщательного мониторинга использования облачных сервисов. Защитникам следует оперативно применять рекомендованные меры и обмениваться IOC, чтобы снизить риск распространения и последующего ущерба.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Автор: Технологии киберугроз

Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.

Комментарии: