AsyncRAT: как киберпреступники получают доступ к ключевой инфраструктуре в США

За последние 11 месяцев активно ведется кампания по распространению вредоносного ПО AsyncRAT, направленного на выборочные цели. В рамках этой кампании используются сотни уникальных загрузчиков и более 100 доменов.

AsyncRAT - это открытый инструмент удаленного доступа для Windows, доступный с 2019 года. Он включает функции удаленного выполнения команд, кейлоггинга, эксфильтрации данных и загрузки дополнительных полезных нагрузок.

Киберпреступники активно используют этот инструмент, как в оригинальной, так и в модифицированной форме, для получения доступа к целевым системам, кражи файлов и данных, а также распространения дополнительного вредоносного ПО.

Исследователь безопасности из Microsoft Игаль Лицки обнаружил атаки, проводимые через захваченные электронные письма прошлым летом, но не смог получить конечную полезную нагрузку.

В сентябре команда исследователей Alien Labs от AT&T заметила "всплеск фишинговых писем, нацеленных на конкретных лиц в определенных компаниях" и начала исследование.

"Жертвы и их компании тщательно выбраны для усиления воздействия. Некоторые из определенных целей управляют ключевой инфраструктурой в США, заявили в AT&T Alien Labs.

Атаки начинаются с вредоносного электронного письма с вложением в формате GIF, которое ведет к файлу SVG, загружающему обфусцированные скрипты JavaScript и PowerShell.

После прохождения проверок на наличие песочницы, загрузчик связывается с сервером управления и контроля (C2) и определяет, подходит ли жертва для заражения AsyncRAT.

Сценарий этапа 3, развертывающий AsyncRAT (AT&T)

Загрузчик использует жестко закодированные домены C2, размещенные на BitLaunch, сервисе, позволяющем анонимно оплачивать в криптовалюте, что удобно для киберпреступников.

Если загрузчик определяет, что он находится в среде анализа, он развертывает ложные полезные нагрузки, вероятно, в попытке ввести в заблуждение исследователей безопасности и инструменты обнаружения угроз.

Система защиты от песочницы, используемая загрузчиком, включает в себя серию проверок, проводимых с помощью команд PowerShell, которые получают информацию о системе и рассчитывают балл, указывающий на то, работает ли он в виртуальной машине.

Исследователи из AT&T Alien Labs определили, что за последние 11 месяцев злоумышленник использовал 300 уникальных образцов загрузчика, каждый из которых имел небольшие изменения в структуре кода, обфускации, именах и значениях переменных.

Еще одно наблюдение исследователей - использование алгоритма генерации доменов (DGA), который каждое воскресенье генерирует новые домены C2.

По данным AT&T Alien Labs, домены, используемые в кампании, имеют определенную структуру: они находятся в домене верхнего уровня "top", состоят из восьми случайных буквенно-цифровых символов, зарегистрированы в Nicenic.net, используют код страны Южной Африки и размещены на DigitalOcean.

Команда AT&T расшифровала логику системы генерации доменов и даже предсказала домены, которые будут сгенерированы и присвоены вредоносному ПО в течение января 2024 года.

Исследователи не приписывают атаки конкретному противнику, но отмечают, что "злоумышленники ценят дискрецию", что подтверждается усилиями по обфускации образцов.

Команда Alien Labs предоставила набор индикаторов компрометации вместе с подписями для программного обеспечения Suricata для анализа сети и обнаружения угроз, которые компании могут использовать для обнаружения вторжений, связанных с этой кампанией AsyncRAT.