В статье рассматривается отслеживание кампании, в которой злоумышленники развертывают AsyncRAT — троянец удалённого доступа (RAT) — совместно с троянскими установщиками ScreenConnect в многоэтапной атаке. Атака характеризуется использованием ClickOnce‑загрузчиков, динамически извлекающих полезную нагрузку во время выполнения, что повышает скрытность и осложняет обнаружение.
Ключевые находки
- Обнаружено как минимум восемь IP‑адресов, связанных с инфраструктурой вредоносного ПО, в том числе 176.65.139.119 и 45.74.16.71, выявленных через открытые каталоги с пакетами.
- Типовой вектор заражения: капельница Ab.vbs, выполняемая через WScript, затем .lnk‑ярлык вызывает PowerShell с обходом политик выполнения, что приводит к исполнению Skype.ps1 из общедоступной папки.
- Для закрепления доступа злоумышленники создают частые запланированные задачи, например SystemInstallTask, с агрессивными интервалами запуска.
- Коммуникации AsyncRAT проходят через стандартные порты (21, 80, 443) и широкий диапазон временных портов, часто обёрнутых в TLS.
- Вредоносная платформа демонстрирует внедрение и выполнение в памяти, что снижает эффективность традиционных сигнатурных средств защиты.
- Наблюдаемые полезные нагрузки имели низкие показатели обнаружения в VirusTotal, что указывает на либо недавнее создание, либо запутывание для обхода сигнатурного анализа.
Ход заражения — пошагово
Анализ показал воспроизводимый сценарий заражения:
- Жертва запускает капельницу Ab.vbs через WScript.
- Капельница размещает ярлык (.lnk), настраиваемый для вызова PowerShell с параметрами обхода ExecutionPolicy.
- PowerShell выполняет скрипт Skype.ps1, который загружается из общедоступной папки (доступной для записи).
- Через ClickOnce‑загрузчики динамически извлекаются и разворачиваются AsyncRAT и кастомный PowerShell RAT.
- Для поддержания доступа создаются запланированные задачи, выполняющиеся с короткими интервалами (например, SystemInstallTask), что обеспечивает устойчивость присутствия даже при удалении первоначальных носителей.
Тактики и методы злоумышленников
- Использование ClickOnce как легитимного механизма доставки для снижения подозрительности.
- Динамическая загрузка полезной нагрузки во время выполнения, чтобы избежать обнаружения по файлам на диске.
- Выполнение в памяти и встроенное внедрение (in‑memory execution) для обхода сканеров на основе хэшей.
- Коммуникация по стандартным портам и использование TLS для маскировки сетевого трафика.
- Упор на сохранение доступа через хорошо спрятанные механизмы персистенции (частые scheduled tasks).
«Эта кампания подчёркивает, что простое обнаружение по хэшу недостаточно — нужны поведенческий анализ и сетевые телеметрические данные», — делают вывод авторы анализа.
Индикаторы компрометации (IOC)
- IP‑адреса: 176.65.139.119, 45.74.16.71 (и ещё как минимум шесть других связанных адресов)
- Файловые артефакты: Ab.vbs, Skype.ps1, .lnk ярлыки, ClickOnce‑пакеты
- Имена задач: SystemInstallTask (и другие агрессивно настроенные scheduled tasks)
- Протоколы и порты: порты 21, 80, 443 и широкий диапазон временных портов, часто с TLS
- Низкие показатели обнаружения в VirusTotal для сопутствующих payload
Рекомендации по снижению риска
Для противодействия подобным кампаниям авторы предлагают многослойный подход:
- Ввести строгий allow‑list для установщиков и механизмов развёртывания (включая ClickOnce).
- Мониторить URL‑адреса ClickOnce и связанные сетевые точки на предмет аномалий и неизвестного контента.
- Развернуть поведенческие механизмы обнаружения, ориентированные на выполнение в памяти и необычные техники исполнения.
- Ограничить выполнение скриптов из общедоступных и записываемых каталогов; применить запреты на исполнение в таких директориях.
- Проводить упреждающий Threat Hunting с поиском IOC, связанных с описанной тактикой.
- Внедрить многофакторную аутентификацию (MFA) и регулярно проверять привилегии и доступ поставщиков к критическим системам.
- Собирать и анализировать сетевую телеметрию — DNS, TLS‑сертификаты, потоковые соединения по нестандартным портам — для выявления скрытых каналов.
Вывод
Анализ кампании демонстрирует высокую степень продуманности и мастерства злоумышленников: сочетание легитимных механизмов доставки (ClickOnce), динамической загрузки, исполнения в памяти и агрессивной персистенции затрудняет обнаружение традиционными средствами. Для эффективной защиты организациям необходима многоуровневая стратегия, выходящая за рамки простого сопоставления хэшей, включая поведенческий анализ, сетевую телеметрию и регулярный проактивный поиск угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "AsyncRAT, ScreenConnect и ClickOnce: многоступенчатые атаки".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.