Наряд-заказ на работу вредоноса ✍️

В середине января группа киберразведки зафиксировала кампанию хакерской группировки XDSpy, нацеленную на организации России и Белоруссии. Вредоносная DLL-библиотека и легитимный исполняемый файл распространяются в архивах (скриншот 1). В качестве приманок используются PDF-документы с тематикой договоров.

1️⃣ После запуска исполняемого файла пользователю демонстрируется документ-приманка (скриншот 2), тогда как основные действия выполняются в фоне. Содержимое архива переносится в каталог C:\Users\Public, после чего осуществляется внедрение вредоносной DLL-библиотеки через технику DLL Side-Loading.

Закрепление в системе выполняется через запись в автозагрузке HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run с именем, совпадающим с названием легитимного EXE, и значением C:\Users\Public{legit_exe_filename}, что обеспечивает автоматический запуск компонента при входе пользователя в систему.

2️⃣ На следующем этапе устанавливается сетевое взаимодействие с инфраструктурой злоумышленников. По заданной ссылке загружается полезная нагрузка, которая сохраняется в C:\Users\Public\ с последующим запуском.

3️⃣ Отдельного внимания заслуживают домены группировки, с которых скачивается следующий стейдж.

В теле HTML-страницы подконтрольных злоумышленникам сайтов находится обфусцированный JavaScript (скриншот 3), реализующий предварительную проверку телеметрии и признаков автоматизированной среды, включая наличие navigator.webdriver, индикаторы headless в userAgent и appVersion, корректность объектов navigator.plugins и navigator.mimeTypes, заполненность language/languages, а также аномальные значения outerWidth/outerHeight. Если клиент не проходит проверку, вместо выдачи последующего вредоносного стейджа домен возвращает редирект на скачивание крупного файла для тестирования скорости с домена proof.ovh.net.

Такой подход затрудняет извлечение следующей стадии и снижает вероятность того, что исследователи вредоносного ПО смогут получить стейдж группировки для последующего реверс-инжиниринга. Ранее мы уже описывали схожую цепочку XDSpy и механизмы доставки следующей стадии.

IoCs

Домены:
weltimkrieg.net
cflbombardier.org
lelacdespassions.org

Архивы:
7ce9d21fdd56d0881771502544ce5699
67a8f63c021839e30ee2e1910dc07ff7
3578a1b96820789059393ee9717d431c
919c5f6ce38586bd827a82e97dd44fb1

Вредоносные DLL:
e338abdf9c3160be43b0fa2ee9692292
e758df62f6a0e52f37edd91d3fdf84ac
33a72ef5916bafff2c83d0f4e0f2aa16
0cf610531681f5aeef534f333026c6c2

EXE:
96b307d7d8f4c8b9d7aca9f0ee2ede75

Документы-приманки:
acd3ca48b3ce0677ecb7ab1ab57936f8
ccc49c64b44977563a1fb7c6af52ceed
df98e0bd1e8e6c20ab07bfe790a6ef6e

#TI #APT #ioc
@ptescalator

PDQ-Masters 🧙‍♂️

Главный вектор атак с использованием ВПО — это фишинговые рассылки через электронную почту. Идеальный фишинг с малварью отличается от легитимного письма лишь содержимым вложенной нагрузки: он рассылается от доверенного отправителя в результате его компрометации и содержит ВПО. Но сегодня для примера рассмотрим фишинговую атаку с небольшой попыткой персонализации под цель, которая обошла базовые средства защиты и была остановлена на подступе к почте сотрудника более продвинутыми технологиями защиты почты.

Письмо от анонимного отправителя с легитимного домена — info@koyoshobo.net, с явной попыткой привлечения внимания (тема: «Action Required: Document Review...», скриншот 1). Содержимое представляет собой HTML с закосом под форму системы ЭДО с кнопкой для перехода к документу (скриншот 2). Из страницы статически извлечена ссылка на «документ» по данной кнопке:

https://click.convertkit-mail2.com/75u5pv4wxga8h69dp74fzhwl85666tnhrg6p3/m2h7h5h38zwp97cm/aHR0cHM6Ly93d3cubXRmcGxhc3RpY29zLmNvbS5ici9vb3BzL3NoYXJlZmlsZWRvYy5tc2k

На момент атаки ссылка была новой и не заблокировалась репутационным анализом. Она была автоматически запущена в изолированной браузерной среде, в результате чего удалось получить все перенаправления (скриншот 3) и прийти к итоговой ссылке на «документ» — https://www.mtfplasticos.com.br/oops/sharefiledoc.msi, выкачав для проверки файл 04276b7f1cf487e52f8927134365ae55, очевидно являющийся исполняемым.

💁‍♂️ На этом можно было бы закончить — исполняемые файлы на почте можно легко заблокировать (главное, обратите внимание, чтобы в вашем средстве защиты блокировка осуществлялась по формату файла, а не исключительно по расширению), например, как показано на скриншоте 4 в случае с PT Sandbox. Но если вам нужна гибкая конфигурация, позволяющая обмениваться различными файлами и ссылками на них через почту, всегда важно понимать, что именно представляет собой файл. Для этого в базовых средствах защиты предусмотрена антивирусная проверка, а в продвинутых — проверка файла в песочнице, позволяющая обнаружить самые изощренные угрозы и новое ВПО, еще не засветившееся в антивирусных базах.

Песочница сразу дала понять поведение и сетевую суть семпла (скриншот 5) и заблокировала его за опасные трюки в PowerShell — внутри оказалась утилита PDQ Connect. «И что же тут вредоносного?!» — спросите вы. А мы ответим — несанкционированные политикой ИБ утилиты удаленного доступа сами по себе являются запрещенными 🙅‍♂️

Но тут все чуть сложнее — исходный MSI-файл не просто обобщенный установщик ПО PDQ Connect, это «тихий» установщик PDQ Connect Agent, который генерируется индивидуально для пользователя, с уникальным токеном, и разворачивается в рамках инфраструктуры организации. Если злоумышленник сгенерирует такой установщик и установит его кому-то без его ведома, то данная утилита превращается в самый настоящий бэкдор. Анализ в песочнице позволил автоматически получить токен агента — 0yfer-ks1g2uufaxwpfam81pmasj9bk5e-q7btltzsrkhvz4xxyoonu8cb7kokkd7fc6esztcx1uqccmabxn3w.

Таким образом, атакующий мог получить возможность управления компьютером жертвы через легитимный сервис удаленного доступа pdq.com.

🔍 Характерные строки YARA, которые помогут вам найти артефакты от подобных «агентов» в ваших системах:

strings:
        $a  = "pdqconnectagent-setup" ascii wide
        $s1 = "PDQ.com" fullword wide
        $s2 = "CustomActions.StartService" wide
        $s3 = "CustomActions.WriteToken" wide
        $s4 = "CustomActions.DeleteEvent" wide
        $s5 = "CustomActions.CreateEventSource" wide
        $s6 = "CustomActions.CleanData" wide
    condition:
        (uint16(0) == 0x5a4d or (uint32be(0) == 0xd0cf11e0 and uint32be(4) == 0xa1b11ae1))
        and $a
        and 3 of ($s*)

Не забывайте контролировать конфигурацию ваших средств защиты: они должны блокировать, когда это возможно, а не только уведомлять об угрозах. Защищаться всегда проще, если ограничить поверхность атаки — возможные типы файлов и ссылок, которыми можно обмениваться по почте.

#phishing #malware #emailsecurity #sandbox #avlab
@ptescalator

Засунь свои претензии в... PT Sandbox! 🫵

В конце января мы обнаружили вредоносную кампанию с рассылкой вредоносного PureRat (PureHVNC) по российским организациям финансового сектора.

Как и многие подобные рассылки, атака начиналась с письма под названием «Акт сверки и претензия» (скриншот 1).

В письме была ссылка на архив:

https://github.com/sergo20261/proxi/raw/refs/heads/main/претензия.rar

с причудливо обфусцированным bat-файлом (скриншот 2).

🕵️‍♂️ Его функционал прост — всего лишь декодирование из base64 огромного куска данных (перед этим каждое вхождение подстроки `h@` заменяется на `d`) и его последующий запуск, после чего он копирует себя в C:\ProgramData\avtoproxi.bat (скриншот 3).

Декодированные данные представляют собой PowerShell-скрипт (скриншот 4), который скачивает картинку с URL:

firebasestorage.googleapis.com/v0/b/remasd-6c702.firebasestorage.app/o/image.jpg?alt=media&token=c16438a4-4eeb-4116-adc7-373fbf7359b0
modaaura.store/image.jpg?12711343

🖼 В картинке ищутся теги BASE64_START и BASE64_END, между которыми находится закодированный в base64 .NET-загрузчик AndeLoader, который скачивает exe с переданного ему URL:

https://raw.githubusercontent.com/sergo20261/proxi/refs/heads/main/vc27012026upload.txt

AndeLoader запускает легитимный процесс MsBuild.exe и внедряет в него полученный вредоносный код. Подобная схема характерна для инструмента Crypters and Tools, описанного нами ранее.

В этот раз C2 оказался по адресу 62.84.98.217:56001 (скриншот 5). Естественно, подобные трюки не могли остаться незамеченными в PT Sandbox, и ВПО было заблокировано песочницей.

🚧 Покопавшись в репозитории sergo20261, мы нашли три проекта:

• proxihost
• proxi
• text

Файлов в них великое множество, самые интересные из них:

• написанные на Rust загрузчики вредоноса PureRat;
• исполняемые файлы PureRat;
• различные .txt-файлы, в которых содержатся закодированные данные в Base64 (файл vc27012026upload.txt, упоминаемый по ссылке выше, относится к ним же).

Напоследок хотелось бы отметить, что описанный здесь набор инструментов, запускавшихся с помощью Crypters and Tools, — PureRat и его rust-загрузчики — мелькал в сентябрьских атаках 2025 года и подробно описывался в статье.

IoCs

Акт сверки и претензия.eml -> 71a8920aa71afde02a466e08508642561b98a99632351cdd1c1ce3ab805a10ba
pretenziya_27012026_akt_sverka_1C_PDF.bat -> 1d3e6b81479717282fb0f661fba3603b3f9f9c9d857a0f2fa8035b7015ab1f0a
vc27012026upload.txt -> 9abcfce5cb991f60652c4b410e45ad40f4b0eafe30c2209f0c6e6636b424d5db
Rust загрузчик -> 93e0fb947cff4ab361c307590a078549ab9e885d04e23b12a800296dd4d6c4a4
PureHVNC -> 49fde62919aec811780e67073a7e70566594477ef7b19905e1b8aa42438f6d98

62.84.98.217
firebasestorage.googleapis.com/v0/b/remasd-6c702.firebasestorage.app/o/image.jpg?alt=media&token=c16438a4-4eeb-4116-adc7-373fbf7359b0
modaaura.store/image.jpg?12711343

#avlab #sandbox #TI #ioc #malware
@ptescalator