Найти в Дзене

AsyncRAT, ScreenConnect и ClickOnce: многоступенчатые атаки

Оглавление

В статье рассматривается отслеживание кампании, в которой злоумышленники развертывают AsyncRAT — троянец удалённого доступа (RAT) — совместно с троянскими установщиками ScreenConnect в многоэтапной атаке. Атака характеризуется использованием ClickOnce‑загрузчиков, динамически извлекающих полезную нагрузку во время выполнения, что повышает скрытность и осложняет обнаружение.

Ключевые находки

  • Обнаружено как минимум восемь IP‑адресов, связанных с инфраструктурой вредоносного ПО, в том числе 176.65.139.119 и 45.74.16.71, выявленных через открытые каталоги с пакетами.
  • Типовой вектор заражения: капельница Ab.vbs, выполняемая через WScript, затем .lnk‑ярлык вызывает PowerShell с обходом политик выполнения, что приводит к исполнению Skype.ps1 из общедоступной папки.
  • Для закрепления доступа злоумышленники создают частые запланированные задачи, например SystemInstallTask, с агрессивными интервалами запуска.
  • Коммуникации AsyncRAT проходят через стандартные порты (21, 80, 443) и широкий диапазон временных портов, часто обёрнутых в TLS.
  • Вредоносная платформа демонстрирует внедрение и выполнение в памяти, что снижает эффективность традиционных сигнатурных средств защиты.
  • Наблюдаемые полезные нагрузки имели низкие показатели обнаружения в VirusTotal, что указывает на либо недавнее создание, либо запутывание для обхода сигнатурного анализа.

Ход заражения — пошагово

Анализ показал воспроизводимый сценарий заражения:

  1. Жертва запускает капельницу Ab.vbs через WScript.
  2. Капельница размещает ярлык (.lnk), настраиваемый для вызова PowerShell с параметрами обхода ExecutionPolicy.
  3. PowerShell выполняет скрипт Skype.ps1, который загружается из общедоступной папки (доступной для записи).
  4. Через ClickOnce‑загрузчики динамически извлекаются и разворачиваются AsyncRAT и кастомный PowerShell RAT.
  5. Для поддержания доступа создаются запланированные задачи, выполняющиеся с короткими интервалами (например, SystemInstallTask), что обеспечивает устойчивость присутствия даже при удалении первоначальных носителей.

Тактики и методы злоумышленников

  • Использование ClickOnce как легитимного механизма доставки для снижения подозрительности.
  • Динамическая загрузка полезной нагрузки во время выполнения, чтобы избежать обнаружения по файлам на диске.
  • Выполнение в памяти и встроенное внедрение (in‑memory execution) для обхода сканеров на основе хэшей.
  • Коммуникация по стандартным портам и использование TLS для маскировки сетевого трафика.
  • Упор на сохранение доступа через хорошо спрятанные механизмы персистенции (частые scheduled tasks).
«Эта кампания подчёркивает, что простое обнаружение по хэшу недостаточно — нужны поведенческий анализ и сетевые телеметрические данные», — делают вывод авторы анализа.

Индикаторы компрометации (IOC)

  • IP‑адреса: 176.65.139.119, 45.74.16.71 (и ещё как минимум шесть других связанных адресов)
  • Файловые артефакты: Ab.vbs, Skype.ps1, .lnk ярлыки, ClickOnce‑пакеты
  • Имена задач: SystemInstallTask (и другие агрессивно настроенные scheduled tasks)
  • Протоколы и порты: порты 21, 80, 443 и широкий диапазон временных портов, часто с TLS
  • Низкие показатели обнаружения в VirusTotal для сопутствующих payload

Рекомендации по снижению риска

Для противодействия подобным кампаниям авторы предлагают многослойный подход:

  • Ввести строгий allow‑list для установщиков и механизмов развёртывания (включая ClickOnce).
  • Мониторить URL‑адреса ClickOnce и связанные сетевые точки на предмет аномалий и неизвестного контента.
  • Развернуть поведенческие механизмы обнаружения, ориентированные на выполнение в памяти и необычные техники исполнения.
  • Ограничить выполнение скриптов из общедоступных и записываемых каталогов; применить запреты на исполнение в таких директориях.
  • Проводить упреждающий Threat Hunting с поиском IOC, связанных с описанной тактикой.
  • Внедрить многофакторную аутентификацию (MFA) и регулярно проверять привилегии и доступ поставщиков к критическим системам.
  • Собирать и анализировать сетевую телеметрию — DNS, TLS‑сертификаты, потоковые соединения по нестандартным портам — для выявления скрытых каналов.

Вывод

Анализ кампании демонстрирует высокую степень продуманности и мастерства злоумышленников: сочетание легитимных механизмов доставки (ClickOnce), динамической загрузки, исполнения в памяти и агрессивной персистенции затрудняет обнаружение традиционными средствами. Для эффективной защиты организациям необходима многоуровневая стратегия, выходящая за рамки простого сопоставления хэшей, включая поведенческий анализ, сетевую телеметрию и регулярный проактивный поиск угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "AsyncRAT, ScreenConnect и ClickOnce: многоступенчатые атаки".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.