Коммерческий .NET-криптер PureCrypter, интегрированный в экосистему PureCoder malware-as-a-service, используется для доставки вредоносных полезных нагрузок и продолжает представлять серьезную угрозу для организаций. Недавний анализ образцов, связанных с загрузчиками, известными как Erqcke, выявил сочетание мощной обфускации и модульной архитектуры доставки, что осложняет обнаружение и анализ атакующих операций.
Краткое содержание расследования
Исследование, сосредоточенное на двух загрузчиках Erqcke из кампании, отслеживаемой компанией Securonix под названием SERPENTINE#CLOUD, показывает следующее:
- Загрузчики представляют собой приложения PE32 .NET (x86), использующие ConfuserEx для обфускации.
- Основной метод загрузки полезной нагрузки — внедрение сборок в память с помощью Assembly.Load(byte[]) и вызов через рефлексию конкретных классов и методов из встроенных ресурсов.
- Агрессивные техники обфускации, включая инъекции «мертвого» кода и выравнивание управляющего потока, направлены на запутывание реверс-инженеров.
- Поведенческие индикаторы включают использование 3DES для дешифрования и GZip для распаковки — стандартный путь извлечения полезной нагрузки.
- Загрузчики поставляют варианты PureLogs, среди которых:плагинный стаджер Mvfsxog.dll — не обладает встроенными наступательными возможностями и ожидает команд от C2;
«толстый» клиент Qdjlj.dll — включает функции кражи crypto-кошельков, сбора учётных данных и эксфильтрации данных. - Между ранними версиями и самой новой сборкой ноября зафиксированы заметные улучшения, повышающие устойчивость и эффективность кампании.
Технические особенности и методы уклонения
Анализ показывает, что авторы делают ставку на сочетание .NET-платформы и известных инструментов обфускации для усложнения статического анализа. Ключевые технические моменты:
- ConfuserEx — применяется для сокрытия логики и защиты от декомпиляции;
- Загрузка сборок в память через Assembly.Load(byte[]) и последующий вызов через рефлексию — позволяет обходить защитные механизмы на основе файловой репутации;
- Инъекции «мертвого» кода и непрозрачные предикаты — увеличивают сложность трассировки выполнения и автоматизированного анализа;
- Выравнивание управляющего потока (control-flow flattening) — дополнительный барьер для реверс-инжиниринга;
- Механизмы сохранения и устойчивости включают подходы, похожие на AutoIt-базированные сценарии, что повышает долговечность присутствия в среде жертвы.
Поведенческие индикаторы и сценарии эксплуатации
Поведенческая картина загрузчиков ясно указывает на типичный для MaaS паттерн: малый начальный стейджер для получения команд и доставляющий модульные плагины/клиенты для выполнения конкретных действий.
- Дешифрование данных с помощью 3DES и последующая распаковка через GZip — этапы извлечения полезной нагрузки.
- Рефлективная загрузка и исполнение встроенных ресурсов — уменьшает следы на диске, затрудняет обнаружение через файловые сканеры.
- Модульность доставки позволяет получать тонко направленные плагины (stager → plugin → full client), что расширяет набор атакующих возможностей.
«Эта инфраструктура представляет собой значительную угрозу… благодаря возможностям по обфускации, модульной доставке зарядов и разнообразным наступательным возможностям.»
Последствия для безопасности и рекомендации
Учитывая сочетание уклончивых техник и четко модульной архитектуры, такая экосистема угроз способна долгое время оставаться в добыче в сетях жертв и эскалировать ущерб по мере доставки более сложных модулей.
Практические рекомендации для организаций:
- Усилить мониторинг поведения процессов .NET в средах исполнения (контроль странных вызовов рефлексии, загрузок сборок в память и нестандартных потоков выполнения).
- Добавить правила детекции для комбинации 3DES + GZip внутри процессов, а также наблюдать за загрузками модулей без явных файловых артефактов.
- Блокировать известные индикаторы компрометации на сетевом уровне и отслеживать попытки соединения с C2-инфраструктурой.
- Проверять конечные точки на наличие нестандартных библиотек (например, Mvfsxog.dll, Qdjlj.dll) и искать признаки AutoIt-подобных механизмов сохранения.
- Обеспечить актуальность EDR/AV-сервисов и настроить реакцию на поведенческие аномалии, а не только сигнатуры.
- Ограничить привилегии приложений и пользователей, минимизировать количество исполняемых сценариев из непроверенных источников.
Вывод
PureCrypter, действующий в рамках PureCoder, и загрузчики семейства Erqcke демонстрируют зрелую, развивающуюся экосистему угроз, совмещающую сильную обфускацию и модульную доставку полезной нагрузки. Несмотря на то что в некоторых системах обнаружения показатели могут быть низкими, поведение этих загрузчиков при доставке полезной нагрузки и последующей эксплуатации явно указывает на злонамеренные цели. Организациям следует учитывать такие методы при проработке стратегий защиты и реагирования.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "PureCrypter: .NET-криптер Erqcke в экосистеме PureCoder".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.