В апреле 2025 года Центр по чрезвычайным ситуациям в киберпространстве Lack подтвердил серию целенаправленных атак на японские судоходные и транспортные компании. Злоумышленники использовали уязвимости в Ivanti Connect Secure (ICS) — в частности, CVE-2024-21893 и CVE-2024-21887 — чтобы получить опорные пункты в инфраструктуре и внедрить усовершенствованные варианты троянца удалённого доступа PlugX (RAT), известные как MetaRAT и Talisman.
Краткое содержание инцидента
Первичные следы вторжения были зафиксированы в логах ICS в виде критических ошибок с идентификатором ERR31093, возникавших при обработке вредоносных SAML‑полезных нагрузок. Также средство проверки целостности Ivanti выявило подозрительные файлы, чьи имена совпадают с известными семействами вредоносного ПО, включая LITTLELAMB и WOOLTEA.
ERR31093 — ошибка, генерируемая при обработке вредоносных SAML‑полезных нагрузок в Ivanti Connect Secure.
Что такое MetaRAT и как он работает
MetaRAT — новый вариант семейства PlugX, известный как минимум с 2022 года. Характерные элементы:
- загрузчик mytilus3.dll — 32‑битный DLL, который расшифровывает и запускает MetaRAT в памяти;
- использование AES‑ключа развертывания и механизмов анти‑отладки: при обнаружении режима отладки ключи, применяемые для расшифровки, уничтожаются для осложнения анализа;
- выполнение через хэширование API — в коде присутствует механизм получения адресов функций Windows API по хешам;
- шифрование полезной нагрузки с помощью AES‑256‑ECB; до вызова экспортируемых функций полезная нагрузка расшифровывается и распаковывается в памяти;
- сетевая коммуникация с серверами C2 по различным протоколам: TCP, UDP, HTTP, HTTPS, ICMP.
Talisman: родственник PlugX
Talisman действует по схожей схеме: загрузчик извлекает зашифрованную полезную нагрузку из каталога, расшифровывает её и загружает в память. Исследования указывают на возможное пересечение операций групп, применяющих MetaRAT и Talisman — в том числе по характерным путям к файлам и PDB‑меткам, что свидетельствует о координации или общем происхождении разработок.
Техники, индикаторы и методы обнаружения
Для обнаружения и подтверждения активности MetaRAT/Talisman аналитики рекомендуют обращать внимание на следующие признаки:
- журналы ICS с ошибками типа ERR31093 при обработке SAML‑запросов;
- наличие подозрительных 32‑битных DLL с именем mytilus3.dll или похожих загрузчиков;
- файлы и имена, совпадающие с LITTLELAMB и WOOLTEA;
- создание служб Windows, записи автозапуска в реестре и генерация файлов журналов клавиатурных перехватов (плагин KeylogDump);
- аномальная сетевая активность к неизвестным C2‑сервером по TCP/UDP/HTTP/HTTPS/ICMP;
- поведение DLL, характерное для загрузчиков в памяти — расшифровка и распаковка полезной нагрузки с последующим вызовом экспортируемых функций.
Рекомендации по смягчению и обнаружению
Для уменьшения риска и обнаружения компрометации следует предпринять следующие меры:
- немедленное применение патчей и обновлений для Ivanti Connect Secure (ICS), закрывающих CVE-2024-21893 и CVE-2024-21887;
- проверка логов ICS на наличие ошибок ERR31093 и других аномалий при обработке SAML;
- сканирование на присутствие mytilus3.dll и иных подозрительных DLL, а также проверка целостности системных файлов;
- мониторинг разделов реестра, механизмов автозапуска и службы Windows на предмет неожиданного создания записей и сервисов;
- сетевой мониторинг и фильтрация на уровне периметра: блокировка/анализ подозрительных соединений по TCP/UDP/ICMP и проверка исходящих HTTP/HTTPS запросов;
- использование существующих правил обнаружения, включая правила Sigma, ориентированные на поведение DLL и характерные паттерны MetaRAT;
- анализ файлов журналов и артефактов, созданных плагинами типа KeylogDump, для подтверждения компрометации;
- при подтверждении инцидента — полная форензика затронутых систем и смена учетных данных/сертификатов, которые могли быть скомпрометированы.
Кто стоит за атакой и какие выводы
Аналитики отмечают, что за эволюцией вариантов PlugX следят организованные группы злоумышленников, такие как Calypso и SpacePirates. Сложность и устойчивость механизмов уклонения от обнаружения в MetaRAT подчёркивают, что продвинутые угрозы продолжают представлять существенную опасность для критически важной инфраструктуры, в том числе для судоходства и транспортных цепочек Японии.
Вывод
Кампания апреля 2025 года демонстрирует сочетание использования публично известных уязвимостей в ICS и эволюционирующих загрузчиков/вариантов PlugX. MetaRAT и Talisman — примеры современных RAT‑решений с мощными средствами защиты от анализа и гибкими каналами связи с C2. Организациям критической инфраструктуры следует ускорить патч‑менеджмент, усилить мониторинг SAML‑взаимодействий и внедрить детектирование поведенческих индикаторов, чтобы снизить риск повторных компрометаций.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "PlugX-кампания: MetaRAT и Talisman атакуют Ivanti Connect Secure (CVE-2024-21893, CVE-2024-21887)".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.