ZShell и Android C2: новые фреймворки атак обнаружены

Недавние исследования показали появление новых C2 frameworks, среди которых особое внимание привлёк ранее не идентифицированный ZShell. Аналитики считают, что этот фреймворк, вероятно, имеет китайское происхождение: на это указывают, в частности, китайские иероглифы на странице входа.

ZShell: новые детали о структуре и методах работы

По данным исследования, ZShell сочетает расширенную аутентификацию и управление сессиями. Для хранения JSON Web Tokens (JWT) в local storage используется библиотека Zustand, а затем эти токены применяются при каждом запросе к API.

Отдельное внимание исследователи уделили техникам уклонения. ZShell использует шесть различных шаблонов stager, которые задействуют разные Windows API для загрузки и выполнения shellcode.

Один из наиболее примечательных методов выполнения — вариант NtApc. Он использует нативные системные вызовы уровня NT для Asynchronous Procedure Calls (APC) injection. Такой подход специально рассчитан на обход традиционных средств обнаружения, основанных на сигнатурах.

Кроме того, ZShell демонстрирует тактики, характерные для известных фреймворков вроде Cobalt Strike. В частности, он поддерживает несколько режимов выполнения и использует техники подделки подписи PE через SigThief для имитации легитимных бинарных файлов.

Исследователи также отмечают возможность подделки Rich Header, что может вводить в заблуждение базовые антивирусные решения, усложняя определение времени компиляции и происхождения файла.

Android C2-панель: скрытый фишинг и контроль через Accessibility Services

Помимо ZShell, специалисты обнаружили ещё одну C2-панель, ориентированную на атаку устройств под управлением Android. Это вредоносное ПО использует Accessibility Services для реализации ключевых функций, включая автоматизированный фишинг через внедрение overlay-экранов. Такой механизм позволяет похищать учетные данные без прямого взаимодействия пользователя.

Вредоносная программа отслеживает приложения, открытые в активном окне, и проверяет их на наличие заранее определённых целей. Для этого используется список высокоценных приложений, что повышает скрытность операций и делает атаку более точечной.

Среди дополнительных функций исследователи выделяют:

• Black Mode — скрытие незаконных транзакций в момент, когда устройство выглядит неактивным;
• silent shot — скрытый захват скриншотов без уведомления пользователя.

Примечательно, что основная архитектура и операционная логика этой Android C2-панели имеют сходство с ранее задокументированным фреймворком PlayPraetor. По мнению аналитиков, это может указывать на эволюцию уже существующих вредоносных структур либо на появление их вариантов.

C2 Hunter: инструмент для отслеживания инфраструктуры злоумышленников

Для консолидации результатов, связанных с C2 frameworks, был запущен проект C2 Hunter. Он сосредоточен на мониторинге различных C2-инфраструктур и infostealers.

Инструмент предназначен для категоризации и обновления данных как о новых, так и об уже известных угрозах в режиме реального времени. Это позволяет точнее отслеживать тактики ВПО и стратегии злоумышленников, а также быстрее сопоставлять новые находки с уже изученными образцами.

По мере анализа дополнительных фреймворков база данных, вероятно, будет расширяться, что сделает C2 Hunter ещё более полезным для непрерывного наблюдения за развитием вредоносной экосистемы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.