Хакерская кампания использует легальный сервис paste.ee для распространения вредоносных RAT
Недавние расследования выявили новую тактику злоумышленников — использование легального онлайн-сервиса paste.ee для распространения троянских программ удалённого доступа (RATs) XWorm и AsyncRAT с помощью скрытого загрузчика на JavaScript. Такая методика затрудняет обнаружение и повышает эффективность атак, что делает кампанию особенно опасной для организаций и частных пользователей.
Маскировка вредоносного кода через JavaScript
Первоначальная проверка вредоносных файлов показала, что под видом безобидного JavaScript-файла с названием «ДОКУМЕНТ ДЛЯ ДОСТАВКИ» INFORMATION.js скрывался замаскированный загрузчик. В этом файле использовались необычные символы Unicode, что служило средством обфускации — сокрытия истинного назначения скрипта. Основная функция кода сводилась к обращению к paste.ee для извлечения и выполнения вредоносной полезной нагрузки с помощью конструктора функций.
Расследование охватило более широкую кампанию, демонстрирующую сложные методы обфускации и использование глобальной распределённой инфраструктуры командования и контроля (C2), характерной для этих RAT.
Возможности вредоносной программы XWorm
Тщательный анализ выявил следующие ключевые функции XWorm:
- регистрация нажатий клавиш (keylogging);
- эксфильтрация данных;
- постоянный удалённый доступ к заражённым системам;
- отслеживание активных окон и состояния клавиатуры;
- сбор конфиденциальной информации в различных приложениях.
Эти возможности делают XWorm серьёзной угрозой для информационной безопасности. Дополнительный анализ инфраструктуры позволил обнаружить вредоносные исполняемые файлы, связанные с этой программой, а также выявить домен и IP-адрес C2-серверов.
Инфраструктура командования и контроля (C2)
Исследование выявило следующие ключевые элементы инфраструктуры злоумышленников:
- домен abuwire123.ddns.net;
- IP-адрес 45.145.43.244, расположенный в Германии;
- активность на нестандартных портах: 6606 и 7707, ассоциируемых с AsyncRAT.
IP-адрес демонстрировал значительную вредоносную активность, включая связь с другими подозрительными сервисами, что свидетельствует о длительной и структурированной работе хакеров.
Особенности AsyncRAT
AsyncRAT — это троянец с открытым исходным кодом, разработанный на C#. Благодаря своей гибкости и возможности модификации этот RAT стал популярным среди различных хакерских групп. Анализ SSL-сертификатов, применяемых на обсуждаемых портах, подтвердил связь с разными вариантами AsyncRAT, что указывает на наличие масштабной и хорошо организованной сети C2.
Рекомендации по защите и мониторингу
Данная кампания ярко демонстрирует, как злоумышленники используют легальные сервисы для размещения и распространения вредоносного ПО, что значительно затрудняет его выявление. Эксперты по безопасности подчёркивают важность:
- мониторинга необычной сетевой активности, особенно на малоизвестных портах (6606, 7707);
- регулярного анализа поведения JavaScript-файлов с помощью методов регулярных выражений;
- постоянного мониторинга логов IOCs (Indicators of Compromise);
- осторожного обращения с ссылками на сервисы типа paste.ee;
- внимательного изучения сложного и запутанного JavaScript, способного скрывать вредоносные payload.
Пользователям и организациям рекомендуется усилить контроль за сетевой активностью и быть бдительными при работе с подозрительными файлами и ссылками, чтобы предотвратить проникновение этих опасных троянских программ.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Обфускация и C2-инфраструктура XWorm и AsyncRAT через paste.ee".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.