Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

A0Backdoor: скрытая угроза Blitz Brigantine с DNS-туннелированием

5 мин
Недавнее исследование компании BlueVoyant выявило новую кампанию, в которой используется вредоносный бэкдор A0Backdoor. За атакой следует группа, отслеживаемая как Blitz Brigantine (также известная как Storm-1811 или STAC5777). Актеры применяют сочетание целевой социальной инженерии и продвинутых технических методов, чтобы получить и сохранить доступ к корпоративным системам, маскируя трафик под нормальные сетевые операции. Кампания начинается с целевой «бомбёжки» электронной почты и имитации сотрудников IT‑поддержки в Microsoft Teams. Злоумышленники подбивают жертв к использованию встроенного в Windows инструмента Quick Assist, после чего получают удалённый доступ к устройствам. Далее на целевой системе подгружается вредоносный DLL, замаскированный под легитимные компоненты Microsoft. A0Backdoor демонстрирует продвинутые техники уклонения от обнаружения: Цепочка распространения включает использование MSI-пакетов, замаскированных под приложения Microsoft, что повышает шанс установки на
Оглавление

Недавнее исследование компании BlueVoyant выявило новую кампанию, в которой используется вредоносный бэкдор A0Backdoor. За атакой следует группа, отслеживаемая как Blitz Brigantine (также известная как Storm-1811 или STAC5777). Актеры применяют сочетание целевой социальной инженерии и продвинутых технических методов, чтобы получить и сохранить доступ к корпоративным системам, маскируя трафик под нормальные сетевые операции.

Суть атаки — социальная инженерия и удалённый доступ через Quick Assist

Кампания начинается с целевой «бомбёжки» электронной почты и имитации сотрудников IT‑поддержки в Microsoft Teams. Злоумышленники подбивают жертв к использованию встроенного в Windows инструмента Quick Assist, после чего получают удалённый доступ к устройствам. Далее на целевой системе подгружается вредоносный DLL, замаскированный под легитимные компоненты Microsoft.

Техническая характеристика A0Backdoor

  • Вредоносный загрузчик называется hostfxr.dll. Несмотря на наличие видимых подписей, загрузчик оказался вредоносным и использовал нестандартные методы загрузки.
  • A0Backdoor применяет runtime‑расшифровку для скрытия основной функциональности, что затрудняет статический анализ.
  • Коммуникация с C2 осуществляется через DNS‑туннелирование: в поддоменах с высокой энтропией кодируются команды и конфигурационные данные.
  • Поддерживается распознавание окружения (system fingerprinting) и уникальный протокол обмена с C2 через DNS‑запросы, маскируемый под обычные DNS‑операции корпоративной сети.
  • Встроенные рутинные деcryption используют алгоритмы, включая AES в режиме CBC, для динамического управления полезной нагрузкой и поддержания устойчивости (persistence).

Механизмы уклонения и обфускации

A0Backdoor демонстрирует продвинутые техники уклонения от обнаружения:

  • Использование видимых, но скомпрометированных цифровых подписей для маскировки вредоносных модулей.
  • Runtime‑расшифровка (decrypt at runtime), что делает ненадёжным статический анализ исполняемых компонентов.
  • Нестандартный загрузчик и обфусцированные рутинные вызовы, имитирующие поведение легитимных компонентов Microsoft.
  • Механизмы «однократного» исполнения с применением исключений для обхода множественных запусков и усложнения детектирования.
  • DNS‑туннелирование через поддомены высокой энтропии, позволяющее смешать трафик с легитимными DNS‑запросами и обходить традиционные системы обнаружения туннелирования.

Цепочка распространения и профиль жертв

Цепочка распространения включает использование MSI-пакетов, замаскированных под приложения Microsoft, что повышает шанс установки на целевых системах и снижает вероятность срабатывания базовых средств защиты. Жертвами атаки преимущественно стали организации финансового и медицинского секторов — показатель того, что злоумышленники используют OSINT для таргетирования наиболее привлекательных целей.

Эволюция угрозы и связь с предыдущей активностью

Аналитики отмечают, что кампания отражает продолжение деятельности Blitz Brigantine, но с существенной эволюцией тактик и инструментов. Группа постоянно меняет способы упаковки и всё ещё использует скомпрометированные сертификаты цифровой подписи (многие из которых уже аннулированы), что усложняет задачу защиты и атрибуции.

По выводам BlueVoyant, экосистема угроз вокруг A0Backdoor «отражает растущую адаптивность киберугрожающих акторов, поддерживающих эффективные операции в рамках стандартной инфраструктуры предприятий».

Рекомендации по защите

Эксперты по кибербезопасности и службы безопасности должны принять комплекс мер для снижения рисков заражения и своевременного обнаружения подобных атак:

  • Ограничить и контролировать использование Quick Assist и других инструментов удалённой помощи; использовать многослойную аутентификацию и централизованную политику управления удалёнными сессиями.
  • Обучение сотрудников: тренинги по распознаванию фишинга, имитаций IT‑персонала в Teams и технике «бомбёжки» почты.
  • Мониторинг DNS‑трафика на предмет поддоменов с высокой энтропией и аномального паттерна запросов; внедрение поведенческого анализа DNS.
  • Блокировка и анализ MSI‑установщиков из непроверенных источников; применение белых списков для установочных пакетов.
  • Контроль цифровых подписей: проверять подлинность сертификатов и оперативно реагировать на аннулированные/скомпрометированные подписи.
  • EDR и поведенческий мониторинг для обнаружения runtime‑дефектов, нестандартных загрузчиков и in‑memory decryption.
  • Сегментация сети и жёсткие политики egress, чтобы ограничить возможность вывода данных и затруднить соединение с C2‑инфраструктурой.

Индикаторы компрометации (IOCs) — на что обращать внимание

  • Имена и хэши подозрительных DLL, в том числе hostfxr.dll (при наличии нестандартного поведения).
  • MSI‑пакеты, имитирующие приложения Microsoft, пришедшие из неофициальных источников.
  • Аномальные DNS‑запросы с поддоменами высокой энтропии и частыми короткими ответами.
  • Необычный запуск легитимных процессов с последующей загрузкой внешних DLL в память.
  • Признаки runtime‑декомпрессии/дешифрования в процессе выполнения (всплески активности CPU/памяти при малой сетевой активности).

Вывод

Отчёт BlueVoyant подчёркивает, что A0Backdoor и связанная с ним кампания Blitz Brigantine демонстрируют высокую адаптивность и сочетают социальную инженерию с техническими методами уклонения. В условиях, когда злоумышленники эффективно маскируют трафик под нормальные корпоративные операции и используют runtime‑шифрование, организациям необходимо повышать уровень готовности: от процедурного контроля и обучения персонала до внедрения продвинутых средств мониторинга сетевого и поведенческого характера.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "A0Backdoor: скрытая угроза Blitz Brigantine с DNS-туннелированием".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.