Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Анализ кампании Catena loader: сложный троян с многослойной загрузкой

1
3 мин
Эксперты компании Rapid7 выявили новую многоуровневую вредоносную кампанию, применяющую троянские программы установки на базе NSIS для доставки вредоносного ПО Winos версии 4.0. Эта вредоносная программа работает полностью в памяти, обеспечивая удалённый доступ злоумышленникам и повышая устойчивость к обнаружению традиционными антивирусными системами. Кампания впервые была зафиксирована в феврале 2025 года в ходе расследования инцидента и получила название Catena loader. Главные характеристики распространяемой вредоносной цепочки включают: Одним из ключевых случаев было обнаружение вредоносного ПО, доставленного через поддельный установщик браузера QQBrowser с названием QQBrowser_Setup_x64.exe. На первый взгляд файл выглядел легитимным, однако при запуске он реализовывал сложную многоступенчатую загрузку вредоносного кода. Установщик формировал каталог Axialis в директории %APPDATA%, куда помещались следующие компоненты: Анализ показал, что вредоносная программа активно взаимодействует
Оглавление

Обнаружена сложная вредоносная кампания с использованием троянских установщиков NSIS и Winos v4.0

Эксперты компании Rapid7 выявили новую многоуровневую вредоносную кампанию, применяющую троянские программы установки на базе NSIS для доставки вредоносного ПО Winos версии 4.0. Эта вредоносная программа работает полностью в памяти, обеспечивая удалённый доступ злоумышленникам и повышая устойчивость к обнаружению традиционными антивирусными системами.

Суть атаки и особенности цепочки заражения

Кампания впервые была зафиксирована в феврале 2025 года в ходе расследования инцидента и получила название Catena loader. Главные характеристики распространяемой вредоносной цепочки включают:

  • Использование встроенного шеллкода;
  • Внедрение отражающих библиотек DLL (sRDI – reflective DLL injection);
  • Многоступенчатый механизм сохранения и повторного запуска вредоносного кода;
  • Создание устойчивого присутствия в системе через запланированные задачи и мониторинг процессов.

Одним из ключевых случаев было обнаружение вредоносного ПО, доставленного через поддельный установщик браузера QQBrowser с названием QQBrowser_Setup_x64.exe. На первый взгляд файл выглядел легитимным, однако при запуске он реализовывал сложную многоступенчатую загрузку вредоносного кода.

Установщик формировал каталог Axialis в директории %APPDATA%, куда помещались следующие компоненты:

  • VBScript-скрипт для запуска — Axialis.vbs;
  • PowerShell-загрузчик — Axialis.ps1;
  • Вредоносная DLL — Axialis.dll;
  • Файлы конфигурации — Config.ini и Config2.ini, содержащие шеллкод и полезную нагрузку.

Ориентация на китайскоязычную среду и скоординированная инфраструктура

Анализ показал, что вредоносная программа активно взаимодействует с C2-серверами, расположенными преимущественно в Гонконге. Вредоносное ПО проверяет языковые настройки системы и выявляет китайский язык, что указывает на его целевую ориентацию. Однако запуск вредоноса происходит вне зависимости от языка ОС, что говорит о возможности масштабирования на широкой географии.

Изучение полезной нагрузки с C2 демонстрирует её идентичные характеристики и взаимосвязь, что подтверждает наличие скоординированной операционной системы злоумышленников.

Методы обхода обнаружения и адаптивность вредоносной кампании

Вредоносное ПО реализует метод внедрения с помощью отражающей DLL-инъекции (sRDI), что позволяет полностью загружать и исполнять код в памяти, избегая записи на диск и минимизируя вероятность обнаружения. Подробнее о тактиках маскировки и поддержания доступа:

  • Создание запланированных задач и мониторинг запущенных процессов для перезапуска вредоноса в случае его завершения;
  • Использование мьютексов для определения активной конфигурации и выбора нужной схемы загрузки;
  • Многоэтапная структура загрузчика с доверенными уровнями, основанными на методах предыдущих кампаний.

Стоит отметить, что наблюдаются и другие варианты Catena loader, маскирующиеся под популярные легитимные программы, такие как LetsVPN и Telegram. Это подтверждает высокую степень гибкости и адаптивности кампании.

Связь с известными группировками

Техника и оперативная тактика вредоносной программы напоминают действия группировки Silver Fox APT, которая также использует мошеннические установщики для распространения вредоносного ПО. Использование многоступенчатых механизмов загрузки и стратегия обхода обнаружения явно указывают на профессиональный уровень исполнения атаки.

Заключение

Кампания Catena loader демонстрирует эволюцию современных угроз, сочетающих скрытность, устойчивость и трудность обнаружения. Комплексный подход со стороны злоумышленников — от использования сложных инсталляторов до применения передовых техник внедрения и постоянного мониторинга — повышает её опасность для корпоративных и частных пользователей, особенно в регионах с китайскоязычной средой.

Экспертам в области кибербезопасности необходимо учитывать новые методы распределения и имплементации памяти, чтобы своевременно выявлять и нейтрализовать подобные угрозы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Анализ кампании Catena loader: сложный троян с многослойной загрузкой".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.