Троянизированный HWMonitor распространяет STX RAT через DLL sideloading

Недавний анализ показал, что злоумышленники начали использовать legitimate software HWMonitor, разработанный компанией CPUID, в качестве приманки для распространения троянизированной версии через скомпрометированный механизм загрузки. По данным исследования, вредоносный ZIP-архив может размещаться на конечной точке Cloudflare R2 и маскироваться под легитимный пакет.

DLL sideloading как точка входа

После запуска атаки применяется техника DLL sideloading: в каталог программы подсовывается вредоносная версия CRYPTBASE.DLL, которая получает приоритет над легитимной системной DLL Windows. Такой подход позволяет вредоносному ПО сохранять нормальную работу приложения, одновременно запуская многоступенчатую цепочку загрузки в памяти, ведущую к развертыванию STX RAT.

Первичное выполнение вредоносной DLL, как отмечается в отчете, рассчитано на загрузку легитимной cryptbase.dll, чтобы снизить риск обнаружения. Далее в функции DllMain вредоносное ПО создает два потока:

• один — для выполнения вредоносных действий;
• второй — для загрузки легитимной DLL и обхода возможных блокировок загрузчика.

Работа исключительно в памяти

Отдельное внимание в анализе уделено тому, что вредоносное ПО извлекает зашифрованные данные из собственных ресурсов и выделяет исполняемую память с правами RWX. Для запуска последующих payloads используются техники reflective PE loading, что позволяет выполнять их исключительно в памяти и тем самым минимизировать следы, заметные для forensic analysis.

Для сокрытия активности STX RAT динамически разрешает API с использованием хеш-рутины ROR13 в сочетании с обходом PEB. Это устраняет явные зависимости от import table и заметно усложняет static analysis.

Антиотладка и скрытное управление

Вредоносная программа также включает легковесный механизм anti-debugging: она проверяет флаг BeingDebugged в блоке окружения процесса (PEB). Такой прием снижает заметность активности и позволяет изменять поток выполнения при обнаружении debugging tools.

По своим возможностям STX RAT напоминает вредоносное ПО в стиле HVNC. Это дает ему возможность:

• создавать интерактивные desktop sessions;
• захватывать screen activity;
• контролировать user input;
• использовать механизмы, связанные с перечислением windows и обработкой данных из interactive window station.

Связь с C2 и эксфильтрация данных

Связь с command-and-control (C2) инфраструктурой осуществляется через Web protocols с использованием структурированных данных на основе JSON. По оценке аналитиков, это повышает скрытность при exfiltration данных.

«Кампания демонстрирует многовекторный подход: от компрометации цепочки поставок и DLL sideloading до reflective loading, obfuscation и anti-analysis», — следует из анализа.

Соответствие MITRE ATT&CK

В рамках MITRE ATT&CK данная кампания соотносится с несколькими тактиками и техниками, включая:

• компрометацию цепочки поставок через троянизированное ПО;
• DLL sideloading для выполнения кода;
• reflective loading для memory-based threats;
• различные методы obfuscation и anti-analysis.

Что важно для защиты

Авторы отчета подчеркивают, что усилия по обнаружению должны быть сосредоточены на выявлении этой многовекторной атаки с помощью продвинутых средств защиты. В частности, рекомендуется отслеживать:

• паттерны загрузки DLL;
• поведение, связанное с выделением памяти;
• активность C2;
• признаки скрытного выполнения payloads в памяти.

Такие проактивные меры, по мнению аналитиков, помогают SOC распознавать сложное поведение, характерное для этого варианта ВПО.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.