18/08/25
Эта группировка, действующая как минимум с 2018 года, известна целевыми фишинговыми кампаниями против финансового и страхового сектора, а в последней операции внедрила впервые для себя более сложные методы обхода анализа — многоуровневую антивиртуализационную проверку и сложную обфускацию кода, что серьёзно осложняет детектирование в песочницах и ручную реверс-инженерию, пишет Securitylab.
Сценарий заражения начинается с рассылки электронных писем с вложением в формате SVG, оформленным под тему колумбийской судебной системы. Файл содержит ссылку на Bitbucket и пароль для архива, внутри которого находятся исполняемый файл и три библиотеки. Две из них — подлинные компоненты GitKraken, а третья, libnettle-8.dll, — вредоносная. Запуск exe-файла инициирует механизм side-loading, подгружая вредоносную DLL, которая после запуска использует вставки ложных управляющих конструкций и контрольное «выравнивание» потока (control-flow flattening) для затруднения анализа.
Вредонос выполняет низкоуровневые проверки среды через CPUID и вызовы kernelbase.EnumSystemFirmwareTables, определяя наличие виртуальной машины. Если система запускается в такой среде, программа завершает работу. Собирается широкий набор сведений: имя ПК и пользователя, версия ОС, аппаратные характеристики, локальный IP, перечень каталогов и версия .NET Framework. Далее создаётся директория %USERPROFILE%\SystemRootDoc, куда копируются исходные файлы, а в реестр HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run добавляется автозагрузка для закрепления в системе.
Для внедрения основного кода применяется техника process hollowing. Создаются процессы AddInProcess32.exe, msbuild.exe и InstallUtil.exe из каталога .NET Framework, приостанавливаются, после чего в их адресное пространство через NtAllocateVirtualMemory, RtlAllocateHeap и NtWriteVirtualMemory внедряется полезная нагрузка. После возобновления потоков исполняется RAT-модуль.
Финальный компонент — клиент DcRAT, популярный среди киберпреступников открытый удалённый администртор на C#. Конфигурация, зашитая в бинарный код, указывает AES256-ключ, порт 3020, C2-домен envio16-05.duckdns.org, имя мьютекса DcRatMutex_qwqdanchun и рабочую директорию %AppData%. В базовой конфигурации антиотладочные, антианализные и VM-проверки отключены, но сервер может активировать их по команде, подстраивая поведение под обстановку.
DcRAT поддерживает WMI-проверку виртуализации, завершение процессов анализаторов (ProcessHacker, Process Explorer, Windows Defender), а также альтернативные механизмы закрепления с использованием прав администратора и без них. Постоянная связь с C2 позволяет атакующему не только управлять заражённым хостом, но и при необходимости загружать дополнительные модули.
