SwimSnake: RAT через Baidu Netdisk и WeChat/DingTalk

Киберпреступная группировка SwimSnake (псевдоним Silver Fox) разработала сложную кампанию по распространению троянов удалённого доступа (RAT), используя популярные платформы социальных сетей — WeChat, DingTalk, Telegram и WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta). В качестве приманки злоумышленники распространяют поддельный установочный пакет Baidu Netdisk, за счёт чего маскируют запуск вредоносной полезной нагрузки и повышают шансы уклониться от обнаружения антивирусными продуктами.

Ключевые выводы

• SwimSnake распространяет обновлённое вредоносное ПО через фальшивые инсталляторы Baidu Netdisk и ссылки в мессенджерах.
• Группа отказалась от размещения DLL в одном каталоге и перешла к использованию легитимных системных исполняемых файлов Windows — rundll32.exe и regsvr32.exe — для загрузки вредоносных модулей.
• Вредоносное поведение зависит от наличия мессенджеров: при обнаружении целевых приложений активируется полноценный RAT WinOS, в противном случае разворачивается облегчённый набор троянов для связи с сервером C2.
• Используются многослойные зашифрованные компоненты, загрузка в память и техники для отключения средств защиты, включая выполнение команд PowerShell для снижения эффективности Windows Defender.
• Вторичные полезные нагрузки, например xmplay.exe, представляют собой пакеты NSIS с набором вредоносных файлов и выполняют более глубокие операции расшифровки шелл-кода и внедрения в память.

Как работает кампания

Атака начинается с поддельного установщика Baidu Netdisk. После выполнения инсталлятора на системе одновременно запускается легитимный установщик и разворачивается вредоносная полезная нагрузка. Основные шаги цепочки атаки:

• Загрузка и расшифровка вредоносных DLL — последующая загрузка осуществляется через rundll32.exe.
• Если на машине обнаружены процессы целевых мессенджеров (WeChat, DingTalk, Telegram, WhatsApp), вредоносное ПО активирует RAT WinOS и создаёт файл-маркер для последующего повторного использования через regsvr32.exe.
• При отсутствии этих приложений разворачивается упрощённый набор троянов, задача которого — поддерживать связь с C2 и собирать базовую телеметрию устройства.
• Дальнейшие полезные нагрузки загружаются через ссылки на сервер C2 и выполняют команды для эскалации привилегий, отключения защитных механизмов и внедрения шелл-кода в память.

Технические детали

Кампания выделяется сочетанием социальных и технических приёмов, направленных на скрытность и устойчивость против обнаружения:

• Использование легитимных исполняемых файлов (Living-off-the-Land): загрузка вредоносных DLL через rundll32.exe и исполнение/повторное использование через regsvr32.exe затрудняет обнаружение традиционными сигнатурными средствами защиты.
• Многоуровневая шифровка: компоненты хранятся в зашифрованном виде, расшифровка производится динамически в памяти для минимизации видимости на диске.
• Динамическая активация по триггеру: вредоносное ПО активирует расширенный функционал только при выявлении конкретных процессов мессенджеров, что снижает количество ложных срабатываний и повышает эффективность дальнейшего распространения через социальные функции приложений.
• Подавление средств защиты: один из модулей (xmplay.exe как NSIS-пакет) умеет выполнять команды PowerShell для изменения настроек Windows Defender и снижения уровня защиты системы.
• Переход к кодам в памяти и инъекции: последующие стадии включают расшифровку шелл-кода и методы внедрения в память, что затрудняет последующий анализ и выявление путем сканирования файловой системы.

Почему это опасно

SwimSnake сочетает две критически важных составляющих успешной кампании:

• Социальная инженерия через доверенные каналы (популярные мессенджеры и легитимную программу Baidu Netdisk).
• Современные техники уклонения от обнаружения — использование легитимных Windows-утилит, шифрование компонентов и инъекция в память.

Вместе это обеспечивает высокий шанс успешного проникновения и длительного присутствия на целевых системах, а также масштабируемость распространения через функции обмена сообщениями.

Рекомендации по защите

• Не устанавливайте ПО из непроверенных источников; проверяйте цифровые подписи инсталляторов.
• Ограничьте использование rundll32.exe и regsvr32.exe через политики Application Control (например, AppLocker, Windows Defender Application Control).
• Включите и поддерживайте актуальные средства EDR/AV и регулярно обновляйте их сигнатуры.
• Активируйте детальную аудит-логику для PowerShell и мониторьте необъяснимую активность модулей, выполняющих скрипты.
• Блокируйте подозрительные домены/адреса, связанных с C2; используйте DNS-фильтрацию и сетевые механизмы обнаружения аномалий.
• Обучайте пользователей не доверять ссылкам и установочным пакетам, присылаемым через мессенджеры, и верифицировать источники.
• Мониторьте создание «файлов-маркеров» и подозрительное поведение процессов мессенджеров (необычные сетевые запросы, массовые приглашения в группы, переадресация сообщений).

«SwimSnake демонстрирует, как сочетание социальных триггеров и advanced technical techniques позволяет злоумышленникам оставаться незаметными и эффективно расширять присутствие в сети», — отмечают исследователи.

Вывод: кампания SwimSnake — яркий пример комплексной угрозы, где социальная инженерия и продвинутые методы уклонения от обнаружения работают в связке. Организациям критически важно применять многоуровневую защиту, повышать осведомлённость сотрудников и контролировать использование стандартных Windows-утилит для снижения риска компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.