30/05/25
Специалисты Fortinet рассказали о необычной вредоносной программе, обнаруженной в ходе анализа заражённой машины, на которой она проработала несколько недель. Речь идёт о 64-битной Windows-библиотеке с повреждёнными заголовками DOS и PE, что серьёзно осложняет как автоматическое обнаружение, так и ручной анализ угрозы. Несмотря на попытки запутать исследование, команде удалось восстановить поведение вредоноса, воспроизведя исходную среду заражения в изолированной системе.
Файлы формата PE (Portable Executable), применяемые в Windows, содержат важную информацию о структуре программы — в том числе заголовки DOS и PE. Заголовок DOS сохраняет обратную совместимость с MS-DOS и позволяет системе опознать файл как исполняемый. Заголовок PE несёт данные, необходимые для загрузки и запуска программы Windows. В данном случае оба этих сегмента были намеренно искажены, чтобы усложнить реверс-инжиниринг и затруднить извлечение полезной нагрузки из дампа памяти.
Хотя сам файл вредоносной программы извлечь не удалось, специалисты Fortinet получили базу памяти запущенного процесса и полный базу оперативной памяти с заражённого устройства. Зловред выполнялся в процессе «dllhost.exe», а его запуск был осуществлён через пакетный файл и PowerShell-скрипты. Точный способ распространения пока не установлен, равно как и масштабы атаки.
Анализ показал, что после запуска вредонос расшифровывает адрес командного сервера из памяти и устанавливает с ним соединение. В ходе атаки использовался домен «rushpapers[.]com», взаимодействие с которым происходило через протокол TLS. Основной поток программы уходит в «спящий режим», в то время как вспомогательный поток занимается установкой соединения и передачей данных.
Функционально вредонос представляет собой полноценный RAT — удалённую троянскую программу с широким набором возможностей. Она способна делать снимки экрана, управлять службами системы, а также работать в режиме сервера, принимая подключения от злоумышленника. Для этого реализована многопоточная архитектура: на каждое новое соединение выделяется отдельный поток, что обеспечивает параллельную работу с несколькими клиентами и возможность выполнять более сложные операции.
По оценке Fortinet, подобная архитектура позволяет злоумышленнику использовать заражённое устройство как полноценный инструмент удалённого управления, с которого можно выполнять команды, атаковать другие цели или сохранять контроль за сетью жертвы, пишет Securitylab.
