Кампания MostereRAT представляет собой скоординированную серию атак, ориентированных, в частности, на японских пользователей. Атака начинается с фишинговых электронных писем, маскируемых под легитимную деловую переписку: при переходе по вредоносной ссылке жертва предоставляет злоумышленникам первоначальный доступ, который затем используется для развертывания сложного набора модулей удалённого управления и шторма действий по эскалации привилегий и сокрытию присутствия на системе.
Как происходит компрометация
Типичный сценарий распространения включает несколько этапов:
- Фишинговое электронное письмо, адресованное преимущественно японским пользователям.
- Переход по вредоносной ссылке — получение первоначального доступа и запуск полезной нагрузки.
- Размещение компонентов в файловой системе для постоянства и последующего управления — в частности в каталоге C:ProgramDataWindows.
Ключевые компоненты и их функции
В отчет включены описания нескольких компонентов вредоносного набора. Основные из них:
- document.exe — первичный вредоносный бинарник. Для хранения/декодирования данных используется простой метод дешифрования: операция вычитания с использованием ключа A.
- elsedll.db — модуль 2, обладающий расширенными функциями удалённого доступа и контроля. Среди его возможностей:многопоточность для организации C2-операций;
мониторинг активности, связанной с платформой Qianniu (часть Alibaba);
регистрация нажатий клавиш (keylogging);
загрузка и выполнение различных форматов полезной нагрузки — shellcode, DLL и EXE — как из командных соединений, так и по указанным URL с использованием libcurl;
операции с файлами в каталоге /database (чтение, запись, удаление). - Вредоносное ПО также использует сторонние инструменты удалённого доступа и прокси — в отчетах упоминаются AnyDesk, Xray и TigerVNC — чтобы предоставить злоумышленникам интерактивный доступ к скомпрометированным системам.
Эскалация привилегий и обход защит
Одной из примечательных особенностей MostereRAT является возможность повышения привилегий до уровня учетной записи TrustedInstaller. Поскольку этот аккаунт имеет широкий контроль над компонентами Windows, злоумышленники получают эффективный способ обхода стандартных ограничений безопасности и защиты целостности системы.
Для повышения скрытности и нейтрализации средств обнаружения вредоносное ПО содержит списки, ориентированные на идентификацию различных антивирусных решений и EDR-систем, с целью создания помех их работе и уменьшения вероятности обнаружения.
Технические особенности и тактики
- Разработка реализована на Easy Programming Language (EPL) — языке, ориентированном на начинающих разработчиков, преимущественно на носителей китайского языка.
- Мультиформатная доставка полезной нагрузки: поддерживаются shellcode, DLL и исполняемые файлы, загружаемые через C2 или по URL через libcurl.
- Специальная нацеленность на работу с каталогом /database, что позволяет злоумышленникам осуществлять управление данными жертвы.
- Использование легитимных удалённых инструментов (AnyDesk, TigerVNC и др.) для маскировки активности и обеспечения удалённого управления.
Влияние и цель кампании
MostereRAT сочетает в себе механизмы дистанционного контроля, кражи данных и инструментов для длительного скрытого присутствия в инфраструктуре жертвы. Основная цель — установить стабильный канал управления и расширить возможности злоумышленников по дальнейшему развертыванию дополнительных инструментов и эксплойтов, а также по сбору конфиденциальной информации.
«MostereRAT демонстрирует комбинацию простых приёмов декодирования и сложных техник обхода защит, включая повышение привилегий до TrustedInstaller и активную нейтрализацию EDR/AV».
Рекомендации по защите
Для сокращения рисков, связанных с этой кампанией, рекомендуется следующее:
- Усилить почтовую фильтрацию и кампании по повышению осведомлённости сотрудников (особенно в японских подразделениях) — подозрительные письма и ссылки блокировать или отправлять на карантин.
- Ограничить запуск исполняемых файлов из небезопасных мест и внедрить application allowlisting.
- Мониторить и блокировать необычную сетевую активность, в том числе исходящие соединения на неизвестные домены и частые загрузки через libcurl-подобные библиотеки.
- Обратить особое внимание на процессы, действующие с привилегиями TrustedInstaller, и внедрить детекцию аномалий в поведении таких процессов.
- Ограничить и контролировать использование удалённых утилит (AnyDesk, TigerVNC и т.п.), внедрить политику управления доступом и журналирование их использования.
- Поддерживать актуальность сигнатур и правил в EDR/AV, внедрять поведенческий анализ и эвристические механизмы обнаружения.
- Периодически проводить аудит содержимого каталогов, таких как C:ProgramDataWindows и /database, на предмет появления неизвестных или подозрительных файлов.
Заключение
MostereRAT — это пример целенаправлённой кампании, сочетающей простые технические приёмы и продвинутые тактики обхода защиты для получения длительного и скрытого доступа к системам жертв. Несмотря на использование относительно простых методов дешифрования и язык разработки, ориентированный на начинающих (EPL), злоумышленники компенсируют это многоуровневой стратегией проникновения, эскалации привилегий и нейтрализации систем обнаружения. Комплексный подход к защите — от повышения осведомлённости пользователей до внедрения поведенческого EDR и контролируемого использования удалённых инструментов — остаётся ключом к снижению риска успешной компрометации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "MostereRAT: фишинг против японских пользователей, document.exe и эскалация TrustedInstaller".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
