AsyncRAT, ScreenConnect и ClickOnce: многоступенчатые атаки

В статье рассматривается отслеживание кампании, в которой злоумышленники развертывают AsyncRAT — троянец удалённого доступа (RAT) — совместно с троянскими установщиками ScreenConnect в многоэтапной атаке. Атака характеризуется использованием ClickOnce‑загрузчиков, динамически извлекающих полезную нагрузку во время выполнения, что повышает скрытность и осложняет обнаружение.

Ключевые находки

• Обнаружено как минимум восемь IP‑адресов, связанных с инфраструктурой вредоносного ПО, в том числе 176.65.139.119 и 45.74.16.71, выявленных через открытые каталоги с пакетами.
• Типовой вектор заражения: капельница Ab.vbs, выполняемая через WScript, затем .lnk‑ярлык вызывает PowerShell с обходом политик выполнения, что приводит к исполнению Skype.ps1 из общедоступной папки.
• Для закрепления доступа злоумышленники создают частые запланированные задачи, например SystemInstallTask, с агрессивными интервалами запуска.
• Коммуникации AsyncRAT проходят через стандартные порты (21, 80, 443) и широкий диапазон временных портов, часто обёрнутых в TLS.
• Вредоносная платформа демонстрирует внедрение и выполнение в памяти, что снижает эффективность традиционных сигнатурных средств защиты.
• Наблюдаемые полезные нагрузки имели низкие показатели обнаружения в VirusTotal, что указывает на либо недавнее создание, либо запутывание для обхода сигнатурного анализа.

Ход заражения — пошагово

Анализ показал воспроизводимый сценарий заражения:

1. Жертва запускает капельницу Ab.vbs через WScript.
2. Капельница размещает ярлык (.lnk), настраиваемый для вызова PowerShell с параметрами обхода ExecutionPolicy.
3. PowerShell выполняет скрипт Skype.ps1, который загружается из общедоступной папки (доступной для записи).
4. Через ClickOnce‑загрузчики динамически извлекаются и разворачиваются AsyncRAT и кастомный PowerShell RAT.
5. Для поддержания доступа создаются запланированные задачи, выполняющиеся с короткими интервалами (например, SystemInstallTask), что обеспечивает устойчивость присутствия даже при удалении первоначальных носителей.

Тактики и методы злоумышленников

• Использование ClickOnce как легитимного механизма доставки для снижения подозрительности.
• Динамическая загрузка полезной нагрузки во время выполнения, чтобы избежать обнаружения по файлам на диске.
• Выполнение в памяти и встроенное внедрение (in‑memory execution) для обхода сканеров на основе хэшей.
• Коммуникация по стандартным портам и использование TLS для маскировки сетевого трафика.
• Упор на сохранение доступа через хорошо спрятанные механизмы персистенции (частые scheduled tasks).

«Эта кампания подчёркивает, что простое обнаружение по хэшу недостаточно — нужны поведенческий анализ и сетевые телеметрические данные», — делают вывод авторы анализа.

Индикаторы компрометации (IOC)

• IP‑адреса: 176.65.139.119, 45.74.16.71 (и ещё как минимум шесть других связанных адресов)
• Файловые артефакты: Ab.vbs, Skype.ps1, .lnk ярлыки, ClickOnce‑пакеты
• Имена задач: SystemInstallTask (и другие агрессивно настроенные scheduled tasks)
• Протоколы и порты: порты 21, 80, 443 и широкий диапазон временных портов, часто с TLS
• Низкие показатели обнаружения в VirusTotal для сопутствующих payload

Рекомендации по снижению риска

Для противодействия подобным кампаниям авторы предлагают многослойный подход:

• Ввести строгий allow‑list для установщиков и механизмов развёртывания (включая ClickOnce).
• Мониторить URL‑адреса ClickOnce и связанные сетевые точки на предмет аномалий и неизвестного контента.
• Развернуть поведенческие механизмы обнаружения, ориентированные на выполнение в памяти и необычные техники исполнения.
• Ограничить выполнение скриптов из общедоступных и записываемых каталогов; применить запреты на исполнение в таких директориях.
• Проводить упреждающий Threat Hunting с поиском IOC, связанных с описанной тактикой.
• Внедрить многофакторную аутентификацию (MFA) и регулярно проверять привилегии и доступ поставщиков к критическим системам.
• Собирать и анализировать сетевую телеметрию — DNS, TLS‑сертификаты, потоковые соединения по нестандартным портам — для выявления скрытых каналов.

Вывод

Анализ кампании демонстрирует высокую степень продуманности и мастерства злоумышленников: сочетание легитимных механизмов доставки (ClickOnce), динамической загрузки, исполнения в памяти и агрессивной персистенции затрудняет обнаружение традиционными средствами. Для эффективной защиты организациям необходима многоуровневая стратегия, выходящая за рамки простого сопоставления хэшей, включая поведенческий анализ, сетевую телеметрию и регулярный проактивный поиск угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "AsyncRAT, ScreenConnect и ClickOnce: многоступенчатые атаки".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.