СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
5 декабря
#ИБ

StreamSpy (Mahayana): анализ APT‑трояна и C2‑каналов

Специалисты по кибербезопасности выявили сложное вредоносное ПО под названием StreamSpy, также известное как Mahayana и ассоциируемое с группой Patchwork (APT-Q-36). Отчет описывает механизм работы троянца, его коммуникационные каналы, собираемые данные и признаки компрометации. Эта кампания подтверждает, что организованные угрозы продолжают эволюционировать, повышая скрытность и расширяя возможности сбора информации.

Кто стоит за атакой

Группа, фигурирующая в отчете под именем Mahayana и часто называемая Patchwork, ведёт операции, ориентированные преимущественно на азиатский регион с 2009 года. В исходном материале также встречается обозначение Maha Grass, что может отражать разные номенклатуры и алиасы одной и той же активности в разных источниках.

Как работает StreamSpy

Ключевые характеристики троянца:

  • Гибридная коммуникация: применяется комбинация WebSocket и протоколов HTTP для установления устойчивого канала связи с серверами управления (C2), что повышает устойчивость соединения и затрудняет его идентификацию.
  • Упаковка и поставка: вредонос распространяется в ZIP-архивах, один из зафиксированных имён — OPS-VII-SIR.zip. В составе архива — исполняемые файлы, зафиксированные по MD5-хэшам, указывающим на разные итерации троянца.
  • Конфигурация и расшифровка: после запуска троянец расшифровывает встроенные конфигурационные данные, что позволяет ему подстроить поведение под целевую систему.
  • Сбор данных: собираются системные и аппаратные идентификаторы — имя хоста, имя пользователя, версия ОС, сведения об антивирусном ПО; с помощью WMI извлекаются UUID и серийные номера аппаратуры.
  • Закрепление: в корпус троянца встроены механизмы persistence, активирующиеся согласно условным параметрам в конфигурации.

Технические детали и инфраструктура

Сообщения управления и контроля направляются на домен:

www.virtualworldsapinner.com (порт 443)

Использование порта 443 и WebSocket-каналов позволяет злоумышленникам маскировать трафик под легитимную HTTPS-активность и скрыть обмен командами и результатами выполнения.

Связи с другими семействами вредоносного ПО

Один из вариантов StreamSpy, идентифицированный по MD5-хэшу f78fd7e4d92743ef6026de98291e8dee, продемонстрировал сходство с более ранними образцами и возможное взаимодействие с ресурсами других семейств, таких как DuNaoChong. Это указывает на практику совместного использования инструментов или повторного использования компонентов в экосистеме атакующих.

Тактики уклонения от обнаружения

Основной приём уклонения — использование WebSocket поверх стандартных HTTPS-соединений для передачи команд и данных, что затрудняет сетевой мониторинг и детектирование по привычным сигнатурам. Дополнительные методы сокрытия включают шифрование конфигурации и упаковку в ZIP-архивы.

Индикаторы компрометации (IoC)

  • ZIP-архив: OPS-VII-SIR.zip
  • MD5-хэш образца: f78fd7e4d92743ef6026de98291e8dee
  • Домен C2: www.virtualworldsapinner.com, порт 443
  • Используемые технологии: WebSocket, HTTP, WMI

Рекомендации по защите

Хотя отчёт имеет техническую направленность, из него следуют практические меры, которые помогут снизить риск компрометации:

  • Бдительность при раскрытии ZIP-файлов и запуске вложенных исполняемых файлов — особенно от неизвестных отправителей.
  • Ограничение и мониторинг исходящих HTTPS-соединений, анализ подозрительных WebSocket-сессий.
  • Регулярное обновление ОС и средств защиты; контроль целостности критичных системных файлов.
  • Повышение осведомлённости сотрудников для снижения риска фишинговых атак.
  • Использование EDR/NGAV с возможностью обнаружения аномалий в поведении процессов и сетевой активности.

Вывод

StreamSpy демонстрирует типичную для целевых APT-операций комбинацию скрытности и глубины сбора данных. Гибридная коммуникация через WebSocket и HTTPS, использование системных API типа WMI и механизмы закрепления делают троянец серьёзной угрозой для организаций в зоне интереса группы. В условиях постоянной эволюции инструментов атакующих важно сочетать технические средства защиты с человеческим фактором — обучением и политиками безопасного использования IT-ресурсов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: