Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

APT28 обновляет PixyNetLoader: стеганография и загрузка в памяти

3 мин
Исследование вредоносного ПО PixyNetLoader, связанного с группировкой APT28, показало, что за период с 2024 по 2026 год этот инструмент существенно эволюционировал как по коду, так и по техникам атак. Аналитики изучили около 90 образцов и классифицировали их на четыре подсемейства, выделив характерные изменения в функциональности, механизмах доставки и методах скрытности. Одной из ключевых особенностей кампании стало распространение вредоносного кода через файлы Microsoft Word, эксплуатирующие уязвимость CVE-2026-21509. После срабатывания уязвимости запускался SimpleDropper, который затем размещал полезную нагрузку PixyNetLoader в виде DLL-файла. Такой подход позволяет злоумышленникам выстраивать многоступенчатую цепочку заражения, где каждый этап усложняет анализ и повышает шансы на обход средств защиты. Особое внимание исследователи уделили применению стеганографии. В ряде образцов полезная нагрузка скрывалась внутри PNG-изображений. Для извлечения встроенного кода, в частности Coven
Оглавление

Исследование вредоносного ПО PixyNetLoader, связанного с группировкой APT28, показало, что за период с 2024 по 2026 год этот инструмент существенно эволюционировал как по коду, так и по техникам атак. Аналитики изучили около 90 образцов и классифицировали их на четыре подсемейства, выделив характерные изменения в функциональности, механизмах доставки и методах скрытности.

Вектор заражения: Microsoft Word и CVE-2026-21509

Одной из ключевых особенностей кампании стало распространение вредоносного кода через файлы Microsoft Word, эксплуатирующие уязвимость CVE-2026-21509. После срабатывания уязвимости запускался SimpleDropper, который затем размещал полезную нагрузку PixyNetLoader в виде DLL-файла.

Такой подход позволяет злоумышленникам выстраивать многоступенчатую цепочку заражения, где каждый этап усложняет анализ и повышает шансы на обход средств защиты.

Стеганография как основной механизм сокрытия

Особое внимание исследователи уделили применению стеганографии. В ряде образцов полезная нагрузка скрывалась внутри PNG-изображений. Для извлечения встроенного кода, в частности Covenant Grunt, использовался метод наименее значащего бита (LSB).

  • чтение PNG-файла из каталога %programdata%;
  • извлечение скрытого полезного груза методом LSB;
  • выполнение расшифрованного кода непосредственно в памяти;
  • сокрытие следов за счет отказа от записи полезной нагрузки на диск.

По оценке аналитиков, именно такой механизм повышает устойчивость PixyNetLoader к обнаружению и делает его особенно опасным для корпоративных сетей.

Family C: новая схема загрузки и шифрования

Последняя зафиксированная итерация, получившая обозначение Family C, демонстрирует более сложный сценарий работы со стеганографией. В этой версии скрытый полезный груз расшифровывается с применением SHA256, AES и PBKDF2.

Процесс выглядит следующим образом:

  • изображение используется как контейнер для скрытых данных;
  • ключ AES выводится через PBKDF2;
  • IV и salt извлекаются из изображения;
  • целостность полезного груза проверяется по заголовочной информации;
  • после расшифровки код исполняется прямо в оперативной памяти.

Такой подход сочетает криптографическую защиту и исполнение в памяти, что дополнительно усложняет forensic-анализ.

Эволюция семейств и признаки адаптации

В исследовании отмечается, что PixyNetLoader изменялся на протяжении всего периода наблюдения — с апреля 2024 года по апрель 2026 года. За это время были выделены четыре семейства с различными временными рамками активности и уникальными шаблонами кода.

Наличие hybrid strains указывает на постоянную адаптацию вредоносного ПО и, вероятно, на попытки APT28 обходить детектирование путем постепенной модификации существующих компонентов. Аналитики также обращают внимание на использование версионирования, что свидетельствует о структурированном подходе к разработке и сопровождению вредоносной кодовой базы.

Закрепление в сети и методы противодействия обнаружению

Для сохранения присутствия в скомпрометированных средах злоумышленники используют механизмы закрепления через COM registration. Это позволяет вредоносному ПО оставаться активным в сети и повышает сложность его удаления.

Чтобы помочь защитникам, исследователи подготовили YARA-правила, позволяющие выявлять уникальные признаки PixyNetLoader и отслеживать его активность. В дополнение к этому были опубликованы IoC и рекомендации по обнаружению, которые могут быть использованы для усиления защиты инфраструктуры.

Что это значит для организаций

Авторы исследования подчеркивают: из-за сложной архитектуры PixyNetLoader и активного применения стеганографии организациям необходимо усиливать мониторинг событий, связанных с APT28. Особенно важно отслеживать:

  • подозрительные документы Microsoft Word;
  • активность, связанную с CVE-2026-21509;
  • аномалии в работе %programdata% и файлов PNG;
  • выполнение кода в памяти;
  • следы COM registration;
  • срабатывания YARA-правил и совпадения по IoC.

В совокупности эти признаки формируют портрет развивающейся угрозы, которая продолжает адаптироваться к средствам защиты. Исследование дает специалистам по безопасности практические инструменты для обнаружения и сдерживания PixyNetLoader, однако подчеркивает: противодействие таким кампаниям требует постоянного обновления средств мониторинга и анализа.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "APT28 обновляет PixyNetLoader: стеганография и загрузка в памяти".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются