Эксперты по кибербезопасности выявили многоступенчатую атакующую кампанию, в которой злоумышленники применяли троян удалённого доступа AsyncRAT, инфраструктуру Cloudflare и стандартные среды Python для маскировки вредоносной деятельности. Атака сочетала классические методы фишинга с продвинутыми техниками инъекции кода и полиморфной загрузкой полезной нагрузки.
Краткая суть атаки
В качестве вектора первоначального доступа использовался фишинг: жертве предлагали скачать архив, замаскированный под счет‑фактуру — Rechnung zu Auftrag W19248960825.pdf.zip. После открытия архива запускалась цепочка «быстрых ссылок» (internet‑shortcuts), размещённых на бесплатном сервисе Cloudflare, которые загружали и выполняли скрипты, включая PowerShell‑команды для продолжения кампании.
Многоступенчатая механика выполнения
- На этапе исполнения задействовались несколько пакетных файлов, в частности vio.bat и xeno.bat. Оба скрипта выполняли схожие действия: скрытую установку Python 3.14.0 и закрепление через автозагрузку путём копирования/удаления дополнительных batch‑файлов.
- vio.bat загружал файл olsm.bat, тогда как xeno.bat использовал ahke.bat. Особенность xeno.bat — попытка отвлечь жертву, открыв легитимный PDF в момент исполнения вредоносного кода.
- Центральный элемент — скрипт ne.py на Python, реализующий Polymorphic Asynchronous Procedure Call (APC) для выполнения кода в адресном пространстве другого процесса. По умолчанию он нацелен на explorer.exe и принимает параметры для указания входной бинарной полезной нагрузки (new.bin) и ключевого файла (a.txt).
Доставка полезной нагрузки и инъекция
Файл new.bin распаковывался и обнаруживал в себе шеллкод, сгенерированный фреймворком Donut. Такой подход указывает на структурированную доставку payload: Donut используется для упаковки PE‑кодовых фрагментов в исполнимый shellcode, что облегчает последующую инъекцию через APC в целевой процесс.
Социальная инженерия и маскировка контента
- Атакующие применяли заведомо обманные файлы, например new.html, замаскированные под CAPTCHA. Пользователям предлагалось загрузить JavaScript, который смешивался с легитимным содержимым, чтобы скрыть вредоносную логику.
- Финальный шаг перенаправлял пользователей на URL Dropbox; в ряде случаев ссылка намеренно приводила к «неработающему» ресурсу, что дополнительно маскировало истинную цель и усложняло расследование.
Ключевые функциональные возможности AsyncRAT в кампании
- Регистрация нажатий клавиш (keylogging);
- Захват экрана;
- Удалённое выполнение команд;
- Модульная архитектура, позволяющая расширять функционал через Python‑модули.
«Кампания иллюстрирует разнообразные методы и многоуровневые стратегии, используемые киберпреступниками, использующими AsyncRAT, — подчеркивают аналитики. — Комбинация легитимных сервисов с полиморфными техниками инъекции делает обнаружение значительно сложнее».
Что это значит для организаций и пользователей
Атаки такого рода демонстрируют, как злоумышленники используют доверенные сервисы (Cloudflare, Dropbox) и стандартные технологии (Python, PowerShell) для обхода защит и снижения подозрительности. Многоступенчатая природа и применение полиморфного APC повышают риск длительного присутствия в сети и утечки данных.
Рекомендации по обнаружению и реагированию
- Усилить фильтрацию электронной почты и проверки вложений — блокировать архивы с неожиданными именами и двойными расширениями (.pdf.zip).
- Контролировать и ограничивать исполнение PowerShell и запуск неизвестных batch‑файлов; включить логирование команд PowerShell (ScriptBlockLogging) и AMSI.
- Мониторить установку и запуск нестандартных версий Python в пользовательских средах; отслеживать процессы, запускающие внешние скрипты из временных директорий.
- Использовать поведенческий анализ для выявления инъекций в процессы (необычные APC‑вызовы, инъекции в explorer.exe и другие системные процессы).
- Ограничить доверие к внешним CDN и коротким ссылкам, внедрить проверки URL и репутационный анализ для Cloudflare/Dropbox‑ссылок.
- Проводить регулярные проактивные инспекции конечных точек и восстанавливать целостность с помощью EDR и частых сканов на индикаторы компрометации.
- Обучать сотрудников распознавать фишинговые приёмы, включая поддельные CAPTCHA и давящие на срочность вложения.
Вывод
Расследование подчёркивает, что злоумышленники всё активнее комбинируют легитимные технологии и сервисы с продвинутыми техниками инъекции и маскировки. Кампания с использованием AsyncRAT демонстрирует необходимость многоуровневой защиты: от обучения пользователей и управления почтой до современных средств обнаружения поведения и эндпоинт‑защиты. Без таких мер риск успешной компрометации остаётся высоким.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "AsyncRAT: многоуровневая фишинговая кампания с использованием Cloudflare и Python".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.