11,7 тыс подписчиков

ZIP через VHDX и WMI: цепочка загрузки Remcos

22 июня22 июн

3 мин

Специалисты по кибербезопасности сообщили о новом многоэтапном инциденте, в котором злоумышленники использовали ZIP-архив, скрывающий внутри себя VHDX-файл, а затем — вредоносный JavaScript-файл. Такая цепочка заражения демонстрирует, как атакующие комбинируют нестандартные форматы и многоуровневую обфускацию, чтобы обойти средства обнаружения на ранних этапах атаки. После извлечения архива жертва сталкивается с VHDX-образом, который при монтировании раскрывает файл Partnerschaft_fur_neue_Angebotsanfrage.js. По данным анализа, он ориентирован преимущественно на немецкоязычных пользователей. Скрипт содержит обфусцированный код и избыточные комментарии, призванные замаскировать его реальное назначение. Использование формата VHDX для сокрытия вредоносного содержимого — подход не новый, однако в последнее время он встречается реже. Именно поэтому подобная техника может оказаться эффективной, поскольку часть защитных решений и пользователей не ожидает угрозу внутри дискового образа. Вредоно

Оглавление

Как работает цепочка заражения
Три этапа исполнения
Обфускация и дешифрование

Специалисты по кибербезопасности сообщили о новом многоэтапном инциденте, в котором злоумышленники использовали ZIP-архив, скрывающий внутри себя VHDX-файл, а затем — вредоносный JavaScript-файл. Такая цепочка заражения демонстрирует, как атакующие комбинируют нестандартные форматы и многоуровневую обфускацию, чтобы обойти средства обнаружения на ранних этапах атаки.

Как работает цепочка заражения

После извлечения архива жертва сталкивается с VHDX-образом, который при монтировании раскрывает файл Partnerschaft_fur_neue_Angebotsanfrage.js. По данным анализа, он ориентирован преимущественно на немецкоязычных пользователей. Скрипт содержит обфусцированный код и избыточные комментарии, призванные замаскировать его реальное назначение.

Использование формата VHDX для сокрытия вредоносного содержимого — подход не новый, однако в последнее время он встречается реже. Именно поэтому подобная техника может оказаться эффективной, поскольку часть защитных решений и пользователей не ожидает угрозу внутри дискового образа.

Три этапа исполнения

Вредоносный JavaScript работает в три этапа и строит выполнение так, чтобы осложнить анализ и снизить вероятность обнаружения.

Первый этап: скрипт использует WMI (Windows Management Instrumentation) для запуска PowerShell. Такая схема создает менее заметный путь исполнения: от JavaScript к WMI, а затем к PowerShell, вместо более очевидной и легко фиксируемой прямой связки JavaScript → PowerShell.
Второй этап: PowerShell-скрипт дополнительно усложнен. Он восстанавливает операционный код из набора конкатенированных строк, размещенных в каталоге %LOCALAPPDATA% в файле Tamale. При этом используется выбор каждого четвертого символа из группы случайных строк, что заметно затрудняет статический анализ.
Третий этап: после извлечения полезной нагрузки PowerShell выступает как отражательный загрузчик .NET, используя метод System.Reflection.Assembly.Load(). Затем вредоносная нагрузка внедряется в запущенный процесс backgroundTaskHost.exe и устанавливает соединение с сервером управления C2.

Обфускация и дешифрование

Отдельного внимания заслуживает схема дешифрования, применяемая на втором этапе. Скрипт использует Base64 и ключ Identificational, который, по данным исследования, остается неизменным для связанных скриптов. Это указывает на возможное повторное использование общей инфраструктуры или единого набора инструментов в нескольких кампаниях.

Подобные приемы — конкатенация строк, выбор символов по шаблону, использование Base64 и XOR — направлены на то, чтобы затруднить как автоматическое обнаружение, так и ручной реверс-инжиниринг.

Финальная полезная нагрузка: Remcos

Анализ показал, что конечный вредоносный компонент представляет собой Remcos — известную RAT (Remote Access Trojan). После внедрения в backgroundTaskHost.exe он связывается с C2-сервером, обеспечивая злоумышленникам удаленный контроль над зараженной системой.

Для закрепления в системе вредоносная операция создает ключ Run, благодаря чему PowerShell-загрузчик запускается автоматически после перезагрузки. Это позволяет угрозе сохранять активность даже при повторном старте операционной системы.

Что показывает этот инцидент

Данный случай отражает текущую тенденцию в киберугрозах: злоумышленники все чаще комбинируют нестандартные форматы файлов, многоступенчатые сценарии исполнения и сложную обфускацию. Такой подход повышает устойчивость атаки к традиционным средствам защиты и усложняет обнаружение на раннем этапе.

Как отмечают аналитики, именно цепочки, в которых используются ZIP, VHDX, JavaScript, WMI, PowerShell и .NET-механизмы, становятся особенно опасными: они объединяют социальную инженерию, техническую скрытность и надежное закрепление в системе.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "ZIP через VHDX и WMI: цепочка загрузки Remcos".