СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
25 июня
#ИБ

UAC-0226 меняет тактику: ADS, PowerShell и кража данных

Группа UAC-0226 продолжает развивать свои операционные техники, делая атаки более скрытными и устойчивыми к анализу. В новом сценарии злоумышленники используют WinRAR ADS bypass для размещения shortcut в Windows Startup folder и выгрузки дополнительных файлов в C:ProgramData. Такой подход сочетает механизмы persistence, obfuscation и in-memory execution, что заметно усложняет обнаружение и расследование.

Как устроена цепочка атаки

Первичный этап кампании строится вокруг PowerShell loader, который намеренно маскирует свою функцию с помощью generated noise. Его задача — доставить второй этап, более сложный и тщательно скрытый: encoded PE image without headers, содержащий собственный reflective mapper для выполнения в памяти.

Важная особенность этой архитектуры заключается в том, что полезная нагрузка не выглядит как стандартный executable format на диске. Для static analysis такой объект требует reconstruction, что повышает уровень obfuscation и затрудняет традиционные методы детектирования.

Что именно собирает вредоносное ПО

Кампания имеет явно целевой характер. Вредоносный код извлекает конфиденциальную информацию не только из браузеров, но и из других источников, связанных с доступом пользователя и инфраструктурой удалённого соединения.

  • данные из Chromium;
  • данные из Firefox;
  • конфигурации VPN;
  • базы данных KeePass.

Набор целей указывает на то, что речь идёт не об универсальном stealer, а о специализированном инструменте для targeted intelligence collection.

Особенности первой стадии

На первом этапе PowerShell script (WC3) deobfuscates и выполняет закодированные данные, используя механизм, который внутренне отключает проверку сертификатов TLS. В контексте разведки и скрытого доступа это критично: такой приём позволяет снижать ограничения при сетевом взаимодействии и облегчать дальнейшую доставку полезной нагрузки.

Кроме того, loader генерирует telemetry data, отражающие его статус во время выполнения следующего этапа payload. Это поведение указывает на наличие встроенной обратной связи между этапами атаки, что является признаком зрелой и хорошо управляемой цепочки исполнения.

Эволюция техник UAC-0226

По сравнению с более ранними версиями этой кампании наблюдается заметный технический сдвиг. Изменения затронули сразу несколько областей:

  • механизмы persistence;
  • кодирование payload;
  • загрузку в память;
  • инфраструктуру связи.

Ранее образцы UAC-0226 использовали аддитивное побайтовое декодирование, однако в последних атаках применяются иные значения вычитания для obfuscation данных полезной нагрузки. В частности, значение изменилось с 117 на 72. На практике это усложняет сигнатурное обнаружение и показывает, что злоумышленники адаптируют свои инструменты под текущие средства защиты.

Роль reflective mapper

Ключевым элементом остаётся reflective mapper. Он конструирует executable code непосредственно в memory и одновременно передаёт status updates обратно в PowerShell loader. Такой способ работы отличается от обычных шаблонов исполнения и подчёркивает стремление UAC-0226 к более гибкой и скрытной модели выполнения.

Именно этот механизм позволяет атаке оставаться преимущественно fileless на критическом этапе, снижая вероятность обнаружения средствами, ориентированными на анализ дисковых артефактов.

Смена инфраструктуры как элемент evasions

Отдельного внимания заслуживает инфраструктурная адаптация кампании. Среди заметных изменений — смена порта связи и имён конечных точек. Подобные корректировки направлены на обход систем безопасности, которые отслеживают известные indicators of compromise.

При этом атрибуция к UAC-0226 остаётся неизменной. Исследователи указывают на устойчивые поведенческие паттерны и повторяющиеся operational techniques, которые демонстрируют не случайные эпизоды, а непрерывную эволюцию одной и той же угрозы.

«Это отражает заметный прогресс в tactics of operational security и обхода, применяемых группой UAC-0226», — следует из описания кампании.

Вывод

Новая активность UAC-0226 демонстрирует не просто обновление инструментария, а системное совершенствование всей цепочки атаки — от initial access и persistence до in-memory execution и data theft. Использование WinRAR ADS, PowerShell loader, encoded PE image without headers и reflective mapper показывает, что группа делает ставку на скрытность, гибкость и устойчивость к forensic analysis.

Для защитников это означает необходимость учитывать не только отдельные indicators, но и поведенческую логику кампании: смену инфраструктуры, нестандартные методы декодирования, работу через memory и целевой сбор данных из браузеров, VPN и KeePass.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: