Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

UNC5174: Discord C2 и поэтапная ротация бэкдоров

3 мин
Группа UNC5174 была идентифицирована как оператор, применяющий нетипичную для массовых атак схему командования и контроля — через Discord API. Анализ инцидентов показывает, что злоумышленники реализуют многоэтапную стратегию закрепления в сети: первоначальный access достигается с помощью известных backdoor’ов (например, vshell), после чего атакующие постепенно переходят на новые, более скрытные варианты malware для длительного сохранения контроля. Из доступного описания можно выделить несколько характерных элементов поведения группы: «Использование Discord для операций C2 особенно примечательно, поскольку оно использует преимущества законной инфраструктуры для маскировки вредоносных действий.» Применение массовой платформы для C2 предоставляет злоумышленникам несколько преимуществ: Для уменьшения риска успешного использования подобных схем рекомендуется: UNC5174 демонстрирует зрелую, адаптивную модель атак: комбинирование последовательной ротации backdoor’ов с использованием Discord AP
Оглавление

Группа UNC5174 была идентифицирована как оператор, применяющий нетипичную для массовых атак схему командования и контроля — через Discord API. Анализ инцидентов показывает, что злоумышленники реализуют многоэтапную стратегию закрепления в сети: первоначальный access достигается с помощью известных backdoor’ов (например, vshell), после чего атакующие постепенно переходят на новые, более скрытные варианты malware для длительного сохранения контроля.

Ключевые находки

  • UNC5174 использует Discord API как транспорт для C2, маскируя управление внутри легитимной инфраструктуры.
  • Тактика последовательной ротации backdoor’ов — от относительно заметных к более скрытым — позволяет группе улучшать уклонение от обнаружения и повышать устойчивость доступа.
  • Стратегия указывает на продуманные меры OPSEC и целенаправленные усилия по обеспечению долговременного присутствия в компрометированных сетях.

Тактика, техника и процедуры (TTP)

Из доступного описания можно выделить несколько характерных элементов поведения группы:

  • Первичный доступ через установленные backdoor’ы (в отчетах упоминается vshell).
  • Дальнейшее внедрение новых вариантов backdoor’ов, ориентированных на минимизацию обнаружения аналитическими системами.
  • Использование легитимных сервисов (в данном случае Discord) в качестве канала C2 для маскировки сетевой активности.
  • Операционная последовательность: заметный initial implant → укрепление доступа → замена на stealthy implant.
«Использование Discord для операций C2 особенно примечательно, поскольку оно использует преимущества законной инфраструктуры для маскировки вредоносных действий.»

Почему использование Discord опасно

Применение массовой платформы для C2 предоставляет злоумышленникам несколько преимуществ:

  • Трафик выглядит легитимным и часто не блокируется корпоративными прокси и фильтрами.
  • Широкое распространение сервиса снижает вероятность оперативного реагирования на аномалии.
  • Гибкость API позволяет построить устойчивые, программно управляемые каналы коммуникации с compromised hosts.

Операционные и стратегические выводы

  • Переход от одного backdoor’а к другому свидетельствует о намеренном управлении жизненным циклом malware — злоумышленники осознают необходимость ротации инструментов для обхода детекции.
  • Наблюдаемая методика указывает на зрелую, ресурсно обеспеченную APT-подобную кампанию, нацеленную на долгосрочный доступ.
  • Организациям следует рассматривать использование легитимных платформ (Discord, Slack и пр.) как потенциальный вектор C2 и соответствующим образом корректировать политики мониторинга и фильтрации.

Практические рекомендации

Для уменьшения риска успешного использования подобных схем рекомендуется:

  • Внедрить детекцию аномалий на уровне egress-трафика и мониторинг нетипичных соединений к публичным API (включая Discord API).
  • Ограничить и сегментировать исходящий трафик: блокировать ненужные сервисы и применять белые списки для критичных сегментов сети.
  • Усилить мониторинг процессов и поведения на конечных точках для обнаружения смены имплантов и поздних этапов атаки.
  • Использовать интеграцию EDR и SIEM для корреляции событий (установки backdoor’ов, неожиданные outbound-сессии, изменение persistence-механизмов).
  • Регулярно проверять и обновлять политики OPSEC и реагирования на инциденты с учётом использования легитимных платформ в качестве C2.

Заключение

UNC5174 демонстрирует зрелую, адаптивную модель атак: комбинирование последовательной ротации backdoor’ов с использованием Discord API как канала C2 предоставляет группе преимущества по скрытию и сохранению доступа. Организациям рекомендуется принять превентивные меры на уровне сети и endpoint’ов, а также обновить сценарии детекции, чтобы учесть растущую тенденцию злоумышленников использовать широко распространённые сервисы для маскировки вредоносной активности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "UNC5174: Discord C2 и поэтапная ротация бэкдоров".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.