Найти в Дзене
CISOCLUB
11,5 тыс подписчиков

Рост угроз через mshta.exe: глубокий анализ современных атак

50
3 мин
Современные хакеры всё чаще применяют легальные системные компоненты Windows для реализации вредоносных действий. Особенно заметным примером является mshta.exe — компонент, относящийся к категории Living-Off-The-Land бинарных файлов (LOLBin), который позволяет выполнять удалённые HTML-приложения и JavaScript прямо с URL-адресов. Недавний отчет демонстрирует резкий рост использования mshta.exe в атаках, что требует особого внимания специалистов по кибербезопасности. Во втором квартале 2025 года было выявлено сразу шесть подтверждённых случаев злоупотребления mshta.exe — это значительно больше, чем всего один подобный инцидент в первом квартале. Такой рост свидетельствует о том, что злоумышленники всё активнее задействуют этот инструмент для обхода стандартных средств безопасности. Журналы, фиксирующие обращения mshta.exe к подозрительным URL, являются важным индикатором потенциальной угрозы и требуют немедленного анализа. В ходе последних расследований была обнаружена высокая степень оп
Оглавление

Современные хакеры всё чаще применяют легальные системные компоненты Windows для реализации вредоносных действий. Особенно заметным примером является mshta.exe — компонент, относящийся к категории Living-Off-The-Land бинарных файлов (LOLBin), который позволяет выполнять удалённые HTML-приложения и JavaScript прямо с URL-адресов. Недавний отчет демонстрирует резкий рост использования mshta.exe в атаках, что требует особого внимания специалистов по кибербезопасности.

Увеличение количества инцидентов

Во втором квартале 2025 года было выявлено сразу шесть подтверждённых случаев злоупотребления mshta.exe — это значительно больше, чем всего один подобный инцидент в первом квартале. Такой рост свидетельствует о том, что злоумышленники всё активнее задействуют этот инструмент для обхода стандартных средств безопасности.

Журналы, фиксирующие обращения mshta.exe к подозрительным URL, являются важным индикатором потенциальной угрозы и требуют немедленного анализа. В ходе последних расследований была обнаружена высокая степень опасности, однако все выявленные инциденты были успешно нейтрализованы.

Особенности методов атаки

Один из наиболее показательных случаев связан с попыткой подключения к домену, расположенному в Alibaba Cloud Object Storage. Целью атаки становился файл session_update.tmp. Такой выбор имени файла — известная тактика злоумышленников, поскольку файлы с расширением .tmp обычно воспринимаются как временные и безобидные, что позволяет скрывать вредоносный контент.

Файл содержал более 3,4 миллиона символов, что свидетельствует о серьёзной обфускации — мерах, направленных на запутывание аналитиков и автоматизированных систем обнаружения. Этот пример явно демонстрирует, как вредоносные скрипты могут прятаться на виду, маскируясь под обычный системный файл.

Методы анализа и результаты

Для исследования загадочного содержимого применялись различные техники:

  • Base64 декодирование;
  • шестнадцатеричное преобразование;
  • итеративное декодирование с переходом от VBScript к PowerShell.

Пошаговое расшифрование позволило выявить многочисленные обратные вызовы команд и управление, направленные на получение дополнительной вредоносной нагрузки с удалённых серверов.

Конечная функциональность вредоносного ПО была характерна для infostealer — сложного malware, способного к долговременной утечке конфиденциальных данных.

Техники обхода обнаружения

Полезная нагрузка имплементировала несколько продвинутых методов скрытности и устойчивости:

  • обход политик выполнения PowerShell (execution policies);
  • использование механизмов перманентного сохранения доступа после перезагрузки системы;
  • множественные методы кодирования, значительно усложняющие обнаружение с помощью статических сканеров.

Таким образом, даже современные автоматизированные средства требуют поддержки тщательного ручного анализа и использования специализированных платформ с функциями динамического анализа, таких как Joe Sandbox.

Роль платформы Joe Sandbox

Joe Sandbox сыграл ключевую роль в расследовании, обеспечивая визуализацию поведения вредоносного ПО во время выполнения. Платформа помогла выявить:

  • индикаторы компрометации (IOCs);
  • тактики, методы и процедуры (TTP), применяемые злоумышленниками;
  • широкие последствия атаки для целевых систем.

Это продемонстрировало, насколько важно отслеживать всю цепочку исполнения атаки, чтобы своевременно выявить и нейтрализовать комплексные угрозы.

Выводы и рекомендации

Начальное предупреждение, связанное с mshta.exe, привело к выявлению сложной системы доставки вредоносных программ, раскрывая, как злоумышленники используют продвинутые методы обфускации для сокрытия своих действий. Это подтверждает, что даже традиционные инструменты Windows, такие как mshta.exe и PowerShell, остаются эффективным оружием в арсенале современных хакеров.

Текущая ситуация подчеркивает острую необходимость в развитии надежных средств обнаружения, а также оперативных контрмер и систем реагирования на инциденты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Рост угроз через mshta.exe: глубокий анализ современных атак".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются