Кратко: Исследователи зафиксировали активность группы UNC5174, которая использует бэкдор вредоносного ПО и применяет Discord API для организации системы командования и контроля (C2). Группа последовательно разворачивает разные семейства бэкдоров — начиная с заметных имплантов, таких как vshell, и переходя к менее детектируемым вариантам — чтобы обеспечить долговременный доступ к скомпрометированным сетям.
«Этот инновационный подход позволяет злоумышленникам сохранять постоянный контроль над скомпрометированными системами… Использование Discord для операций C2 особенно примечательно, поскольку оно использует преимущества законной инфраструктуры для маскировки вредоносных действий».
Ключевые находки
- Идентифицирована группа: UNC5174.
- Механизм C2: злоумышленники используют Discord API как канал команд и контроля (C2).
- Методология: последовательное развертывание бэкдоров — первоначальный доступ через известные импланты (например, vshell), затем внедрение обновлённых, более скрытных вариантов.
- Цель тактики: долгосрочный доступ и уклонение от обнаружения за счёт использования легитимной инфраструктуры и улучшенной операционной безопасности (OPSEC).
Как работает атака — по шагам
На основе анализа инцидентов можно выделить типичную последовательность действий UNC5174:
- Первичный компромисс: внедрение заметного бэкдора (например, vshell) для получения первоначального удалённого доступа;
- Укрепление присутствия: развёртывание дополнительных имплантов, ориентированных на уклонение от средств обнаружения и на устойчивое закрепление в среде;
- Организация C2: установка каналов связи через Discord API для передачи команд и эксфильтрации данных, что позволяет маскировать трафик под легитимную активность;
- Длительное удержание доступа: поддержание доступа и обновление инструментов по мере необходимости для обхода детектирования.
Почему использование Discord API опасно
Применение широко используемых платформ для C2 — растущая тенденция у злоумышленников. В случае с Discord API это представляет особую угрозу по нескольким причинам:
- Discord — популярный мессенджер и платформа с большим объёмом легитимного трафика, что затрудняет выявление зловредных каналов;
- Каналы через API могут выглядеть как обычные запросы к стороннему сервису, особенно при использовании HTTPS и стандартных API-эндпоинтов;
- Злоумышленники используют преимущества инфраструктуры третьих сторон, снижая риск блокировки собственной инфраструктуры C2 и усложняя для защитников категоризацию трафика.
Риски и последствия
Последовательная стратегия перехода от заметных имплантов к скрытым версиям увеличивает риск долгосрочных инцидентов:
- Длительное присутствие в сети повышает шанс сбора конфиденциальных данных;
- Сложность обнаружения приводит к задержкам в реагировании и увеличению затрат на расследование и восстановление;
- Использование легитимных сервисов для C2 усложняет автоматизированные меры блокировки без риска повлиять на бизнес-процессы.
Практические рекомендации для защиты
- Организовать мониторинг аномального использования Discord API и других внешних API: обращать внимание на нестандартные эндпоинты, частоту запросов и необычную передачу данных.
- Ограничить доступ к внешним платформам с рабочих станций и серверов, где это не требуется — применить whitelisting и прокси с возможностью инспекции трафика.
- Усилить EDR/AV-детекцию: добавить сигнатуры и поведенческие правила для обнаружения vshell и схожих бэкдоров, а также подозрительной активности по командованию и контролю.
- Проводить регулярный threat hunting, нацеленный на признаки пост-эксплуатации: persistence-механизмы, необычные процессы, нетипичные сетевые соединения.
- Разработать и отработать Incident Response-плейбуки, учитывающие сценарии использования легитимных платформ для C2 (включая процедуры изоляции и ретроспективного анализа API-трафика).
- Обеспечить сегментацию сети и минимизацию привилегий, чтобы ограничить возможности злоумышленников по перемещению и сохранению доступа.
- Обмениваться IOC и тактиками через trusted threat intelligence каналы — это ускорит обнаружение и реагирование в смежных организациях.
Вывод
Действия UNC5174 демонстрируют зрелый подход к удержанию доступа и уклонению от обнаружения: комбинация последовательного развертывания бэкдоров и использование Discord API как канала C2 делает такие кампании сложными для обнаружения. Защитникам необходимо учитывать эту эволюцию методов и корректировать меры мониторинга, сетевой политики и инцидент-реагирования, чтобы уменьшить риск длительных компрометаций.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "UNC5174: Discord API как канал C2 для последовательных бэкдоров".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.