Программный модуль CoffeeLoader разработан для загрузки и выполнения вторичных payload'ов, обходя системы обнаружения на конечных точках и антивирусное ПО. Решение использует уникальный ARMOURY Packer, выполняющий код на графическом процессоре, что значительно усложняет анализ в виртуальных средах.
Специализированный загрузчик применяет несколько техник обхода: подмену стека вызовов, сокрытие активности через режим сна, использование Windows Fibers и при необходимости обход контроля учетных записей пользователей (UAC). По функциональным особенностям он имеет сходство с известным загрузчиком SmokeLoader, что свидетельствует о возможной эволюции насчет его поведения.
По словам Брета Стоун-Гросса, старшего директора по аналитике угроз в Zscaler, «целью вредоносной программы является загрузка и выполнение вторичных payload'ов, обходя защитные системы конечных точек». Эксперт отмечает, что многослойное применение техник, начиная от подделки стека вызовов до использования Windows Fibers, существенно затрудняет процесс детектирования.
ARMOURY Packer, именуемый «Armoury» и маскирующийся под законную утилиту Armoury Crate от ASUS, играет ключевую роль в запуске DLL payload'ов (ArmouryAIOSDK.dll или ArmouryA.dll) с повышенными привилегиями. При этом загрузчик вынужден преодолевать ограничения UAC, инициируя последовательность заражения, предусматривающую запуск плановых задач на входе в систему или каждые 10 минут.
После установки сохраняется возможность дальнейшего воздействия: stager-компонент активирует основной модуль, реализующий методы обхода обнаружения антивирусов и систем EDR, а затем устанавливается постоянное соединение с сервером управления и команд (C2) по протоколу HTTPS. Полученные команды включают внедрение и выполнение кода, аналогичного Rhadamanthys shellcode, способного обеспечивать дальнейшие атаки.
Зафиксировано, что происхождение CoffeeLoader датируется сентябрем 2024 года. В случае недоступности основных C2 каналов, загрузчик использует алгоритм генерации доменных имен как механизм резервного реагирования. Анализ Zscaler выявил заметные сходства в исходном коде между CoffeeLoader и SmokeLoader, позволяющие предположить, что первый является эволюционной версией второго, особенно после недавних правоохранительных мер против инфраструктуры последнего.
Параллельно обнаружена иная вредоносная кампания, в рамках которой Seqrite Labs зафиксировали фишинговую рассылку, инициирующую многоступенчатую цепочку заражения и устанавливающую информацию-крадущий модуль Snake Keylogger. Эта информация подчеркивает активное использование многообразных техник для повышения успешности атак и затруднения обнаружения угроз.
Изображение носит иллюстративный характер
Специализированный загрузчик применяет несколько техник обхода: подмену стека вызовов, сокрытие активности через режим сна, использование Windows Fibers и при необходимости обход контроля учетных записей пользователей (UAC). По функциональным особенностям он имеет сходство с известным загрузчиком SmokeLoader, что свидетельствует о возможной эволюции насчет его поведения.
По словам Брета Стоун-Гросса, старшего директора по аналитике угроз в Zscaler, «целью вредоносной программы является загрузка и выполнение вторичных payload'ов, обходя защитные системы конечных точек». Эксперт отмечает, что многослойное применение техник, начиная от подделки стека вызовов до использования Windows Fibers, существенно затрудняет процесс детектирования.
ARMOURY Packer, именуемый «Armoury» и маскирующийся под законную утилиту Armoury Crate от ASUS, играет ключевую роль в запуске DLL payload'ов (ArmouryAIOSDK.dll или ArmouryA.dll) с повышенными привилегиями. При этом загрузчик вынужден преодолевать ограничения UAC, инициируя последовательность заражения, предусматривающую запуск плановых задач на входе в систему или каждые 10 минут.
После установки сохраняется возможность дальнейшего воздействия: stager-компонент активирует основной модуль, реализующий методы обхода обнаружения антивирусов и систем EDR, а затем устанавливается постоянное соединение с сервером управления и команд (C2) по протоколу HTTPS. Полученные команды включают внедрение и выполнение кода, аналогичного Rhadamanthys shellcode, способного обеспечивать дальнейшие атаки.
Зафиксировано, что происхождение CoffeeLoader датируется сентябрем 2024 года. В случае недоступности основных C2 каналов, загрузчик использует алгоритм генерации доменных имен как механизм резервного реагирования. Анализ Zscaler выявил заметные сходства в исходном коде между CoffeeLoader и SmokeLoader, позволяющие предположить, что первый является эволюционной версией второго, особенно после недавних правоохранительных мер против инфраструктуры последнего.
Параллельно обнаружена иная вредоносная кампания, в рамках которой Seqrite Labs зафиксировали фишинговую рассылку, инициирующую многоступенчатую цепочку заражения и устанавливающую информацию-крадущий модуль Snake Keylogger. Эта информация подчеркивает активное использование многообразных техник для повышения успешности атак и затруднения обнаружения угроз.
