Shadow Vector: сложная фишинговая кампания с SVG-вредоносом в Колумбии

Методы доставки и технические особенности вредоносной нагрузки

Атакующие используют тщательно сформированные письма с вредоносными приложениями в формате масштабируемой векторной графики (SVG). Главные особенности кампании включают:

• Подделка отправителей — электронные письма выдают себя за официальные организации.
• Вложения и ссылки — используются ссылки на JavaScript- и VBS-stagers, а также защищённые паролем ZIP-архивы.
• Основная полезная нагрузка — инструменты удалённого доступа (RAT), такие как AsyncRAT и Remcos.
• Использование сторонней загрузки DLL-библиотек и методов повышения привилегий на уровне драйверов.
• Многоступенчатая обфускация и .NET-загрузчик, похожий на загрузчик Katz.

Особое внимание заслуживает технология контрабанда SVG, описанная в платформе MITRE ATT&CK. Этот метод применяет гибкие свойства файлов SVG, чтобы обходить защиту и проводить дальнейшую загрузку вредоносных компонентов. После открытия файла SVG пользователь перенаправляется на загрузку вредоносных программ с легитимных платформ, таких как Bitbucket и Dropbox.

Сложные техники скрытого выполнения и обхода безопасности

Загруженные файлы обычно представляют собой сочетание доброкачественных исполняемых файлов и защищённых библиотек DLL. Вредоносная библиотека загружается в доверенные процессы, что усложняет её обнаружение антивирусными средствами и системами мониторинга. Основные методы:

• Маскировка исходного исполняемого файла под обычный, чтобы загрузить вредоносную DLL.
• Выполнение полезной нагрузки внутри доверенного процесса.
• Функции кейлоггинга и кражи учетных данных.

Кроме того, в последние версии кампании добавлены модульные полезные нагрузки и дополнительные методы атаки:

• Использование JavaScript-файлов, инициирующих новые вредоносные действия.
• Загрузка DLL непосредственно в память для минимизации следов на диске.
• Защита от отладки и проверка наличия виртуализированных сред для избегания анализа.

Обфускация и устойчивость коммуникаций

Вредоносная программа использует сложные механизмы обмена данными и управления, включая:

• Динамическую расшифровку конфигураций с помощью встроенных AES-ключей.
• Настройку разнообразных методов подключения к инфраструктуре C2.
• Минимизацию обнаружения за счёт распределения полезной нагрузки и гибкого управления.

Использование общедоступных платформ обмена файлами для размещения вредоносных компонентов отражает эволюцию тактики злоумышленников и усложняет работу специалистам по кибербезопасности.

Языковые и географические индикаторы кампании

Анализ встроенных в вредоносную программу языковых индикаторов натолкнул исследователей на предположение о возможных связях с португалоязычными хакерами. Это может свидетельствовать о повторном использовании кода или сотрудничестве между различными киберпреступными группами, что требует дополнительного внимания в контексте международных угроз.

Заключение

Кампания Shadow Vector демонстрирует высокий уровень технической проработки и эволюцию методов обхода средств безопасности. Использование формата SVG и загрузка вредоносных файлов с доверенных платформ указывает на возрастающую изощрённость атакующих. Специалистам по кибербезопасности важно учитывать новые векторы угроз и необходимость комплексного подхода в защите, включая обучение пользователей и мониторинг подозрительной активности вокруг SVG-файлов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.