СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
2 часа назад
#ИБ

Стеганография и Remcos RAT в новой фишинговой кампании

Исследователи выявили новую многоэтапную кампанию, в которой через phishing распространяется вариант вредоносного ПО Remcos RAT. Атака сочетает execution in memory и steganography, что позволяет минимизировать количество артефактов на диске и существенно усложняет обнаружение традиционными средствами защиты.

Как устроена цепочка заражения

По данным анализа, злоумышленники используют встроенные ресурсы для доставки полезной нагрузки. В частности, применяется сериализованный объект .NET Bitmap, внутри которого скрываются и извлекаются вредоносные данные. Такой подход затрудняет static analysis и повышает скрытность компонентов вредоносной цепочки.

После извлечения встроенного ресурса, обозначенного как SR1, раскрывается полезная нагрузка, выполняющая роль первого-stage loader под названием Optimax.dll.

  • Optimax.dll — 32-bit .NET DLL;
  • динамически загружает дополнительные .NET assemblies напрямую из byte arrays в memory;
  • использует reflection и late binding;
  • полностью избегает взаимодействия с file system.

Затем вредоносное ПО вызывает другую DLL, загружаемую в memory, — System Optimizer Ultimate.dll. Она действует как second-stage loader и выгружает финальный payload — Remcos RAT.

Маскировка и закрепление в системе

Финальный payload использует process injection, маскируясь под имя процесса браузера, установленное пользователем по умолчанию. Это позволяет ему скрываться в среде выполнения и усложняет идентификацию подозрительной активности.

Дополнительный анализ показал, что malware создает собственную копию в каталоге AppData Roaming со случайным именем и умеет удалять следы своей деятельности. Во время выполнения он также генерирует зашифрованный PowerShell-script вместе с executable file во временном каталоге.

Механизм persistence обеспечивается созданием записей в реестре в следующих разделах:

  • Run;
  • winlogon.exe;
  • userinit.

Действия после заражения

После закрепления Remcos RAT начинает сбор данных с жертвы и использует mutex с именем Remcos_Mutex_Inj для подтверждения своей идентичности. Затем он эксфильтрует похищенные данные на command-and-control server, идентифицированный как 62.102.148.212.

Широкая инфраструктура и дополнительные payloads

Кампания демонстрирует потенциал для более широкого распространения. Наблюдаемая инфраструктура использовалась не только для доставки Remcos RAT, но и для распространения других семейств malware, включая Agent Tesla и Formbook. Это указывает на модель loader as a service.

Кроме того, шаблоны имен файлов, связанные с атакой, указывают на связь с India, где Remcos RAT использовался в качестве payload.

Вывод

Широкий характер наблюдаемой инфраструктуры свидетельствует о том, что она играет многогранную роль в экосистеме распространения malware и не ограничивается одним источником угрозы. Использование steganography, execution in memory и multi-stage loaders делает эту кампанию особенно опасной и трудной для обнаружения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: