Ssylka

Современные угрозы: новые техники сокрытия загрузчиков

В 2023 году наблюдается рост вредоносных загрузчиков, использующих передовые методы обхода мер безопасности, включая сложную комбинацию модулей для инъекции кода и стеганографию. Такие загрузчики демонстрируют высокую адаптивность и способность обходить современные решения по защите информационных систем.
Современные угрозы: новые техники сокрытия загрузчиков
Изображение носит иллюстративный характер

Обнаруженный в 2023 году, загрузчик Hijack Loader известен под названиями DOILoader, GHOSTPULSE, IDAT Loader и SHADOWLADDER. Он способен доставлять вторичные полезные нагрузки, например, информационных крадущие модули, и включает модули, позволяющие обходить антивирусное ПО и впрыскивать вредоносный код в целевые процессы.

Новая версия Hijack Loader внедряет спуфинг вызовов стека посредством манипуляций с указателями EBP, что позволяет скрыть истинное происхождение системных и API-вызовов. Дополнительно загрузчик использует модуль ANTIVM для обнаружения виртуальных машин и модуль modTask для установления персистентности через планировщик задач. Применение техники Heaven's Gate обеспечивает выполнение 64-битных системных вызовов для инъекции кода, а обновлённый список блокируемых процессов теперь включает avastsvc.exe с задержкой выполнения в пять секунд.

Исследователь Muhammed Irfan V A из Zscaler ThreatLabz отмечает сходство методов Hijack Loader с техникой, использованной в CoffeeLoader, что свидетельствует о постоянном усложнении схем обнаружения и анализа. Кампании, задокументированные в октябре 2024 года HarfangLab и Elastic Security Labs, подтверждают использование легитимных сертификатов для подписания вредоносного кода и стратегию распространения под названием ClickFix.

Семейство вредоносного ПО SHELBY, отслеживаемое Elastic Security Labs как REF8685, использует GitHub для организации командно-контрольной связи, утери данных и удалённого управления. Атака начинается с тщательно спланированной фишинговой кампании, направленной на иракскую телекоммуникационную фирму, где письма исходят изнутри организации и содержат ZIP-архив бинарником, осуществляющим DLL side-loading через SHELBYLOADER (файл HTTPService.dll).

Механизм командно-контрольной связи SHELBY базируется на извлечении 48-байтного значения из файла License.txt в репозитории GitHub, контролируемом злоумышленниками. Это значение используется для генерации AES-ключа, расшифровывающего основную полезную нагрузку – библиотеку HTTPApi.dll, загружаемую непосредственно в память без оставления следов на диске. SHELBYLOADER применяет техники обнаружения виртуальных и мониторинговых сред, отправляя результаты проверки в виде логов, а SHELBYC2 посредством файла Command.txt получает команды, позволяющие осуществлять загрузку и передачу файлов, рефлективно загружать.NET-бинарники и выполнять PowerShell-команды через изменения в частном репозитории GitHub с использованием встроенного PAT-токена.

Emmenhtal Loader, также именуемый PEAKLIGHT, распространяется через фишинговые письма с финансово ориентированными приманками и служит для доставки SmokeLoader. В свою очередь, образец SmokeLoader демонстрирует применение коммерческого Reactor для обфускации и упаковки, что сменяет исторически используемые Themida, Enigma Protector и кастомные криптеры. Наблюдения компании GDATA подтверждают, что Reactor становится характерной тенденцией среди загрузчиков и программ для кражи данных.


Новое на сайте

15389Подземное таяние под фундаментом северной Америки 15388NASA показала астероид Doughaldjohanson с формой булавы 15387Запрет восьми искусственных красителей в продуктах США: план Роберта Кеннеди-младшего 15386Как зловредный Docker-модуль использует Teneo Web3 для добычи криптовалюты через... 15385Влияние плана 529 на размер финансовой помощи в вузах 15384Первое свидетельство социального потребления алкоголя среди шимпанзе 15383Возвращение беверли Найт на родную сцену Веллингтона 15382«Череп» Марса: неожиданная находка ровера Perseverance в кратере Джезеро 15381Внутренние угрозы безопасности: браузеры как слабое звено в корпоративной защите 15380Тайна столкновения в скоплении персея раскрыта 15379Уязвимость ConfusedComposer в GCP Cloud Composer открывает путь к эскалации привилегий 15378Как когнитивные тесты помогают воспитать послушного щенка 15377Почему астероид Дональджонсон удивляет геологов всей сложностью? 15376Почему забыть отравление едой невозможно? 15375Стальная гнездовая коробка на мосту: надежная защита для орланов и автомобилистов