Исследователи кибербезопасности из Zscaler ThreatLabz в своем отчете обнаружили новое вредоносное программное обеспечение под названием YiBackdoor. Ключевой вывод анализа заключается в том, что это не автономная угроза, а разработка тех же авторов, что стоят за известными семействами вредоносных программ IcedID и Latrodectus. Связь подтверждается значительными совпадениями в исходном коде, что указывает на эволюцию и расширение инструментария злоумышленников.
На данный момент зафиксированы лишь ограниченные развертывания YiBackdoor. Это говорит о том, что вредоносное ПО, скорее всего, находится на стадии разработки или тестирования. Исследователи полагают, что YiBackdoor может использоваться в связке с IcedID и Latrodectus во время проведения кибератак, дополняя их функционал.
Основные возможности YiBackdoor включают выполнение произвольных команд на зараженной системе, сбор системной информации, создание снимков экрана и развертывание плагинов для динамического расширения своих функций. Степень уверенности в том, что за YiBackdoor, IcedID и Latrodectus стоят одни и те же разработчики, оценивается как «от средней до высокой». В этой иерархии Latrodectus считается преемником IcedID, а YiBackdoor — новым компонентом в этом же семействе вредоносных программ.
Для уклонения от анализа вредоносное ПО использует рудиментарные техники, направленные на обход виртуализированных и изолированных сред («песочниц»). Его основная функциональность внедряется в легитимный системный процесс Windows
Механизм закрепления в системе реализован через ключ реестра Windows Run. Сначала вредоносная DLL-библиотека копируется в новую директорию со случайным именем. Затем в реестр добавляется значение с псевдослучайным именем с помощью команды
Для связи с командным сервером (C2) YiBackdoor извлекает его адрес из встроенного зашифрованного файла конфигурации. Обмен данными и получение команд происходят через HTTP-ответы. Известные команды включают
Анализ Zscaler выявил конкретные совпадения в коде YiBackdoor, IcedID и Latrodectus, подтверждающие их связь. К ним относятся идентичный метод инъекции кода, одинаковый формат и длина ключа для расшифровки конфигурации, а также схожие процедуры дешифровки как для конфигурационного блока, так и для плагинов.
Параллельно с появлением YiBackdoor продолжается эволюция другого известного вредоносного загрузчика — ZLoader, также известного как DELoader, Terdot или Silent Night. Были обнаружены две его новые версии:
Новые версии ZLoader демонстрируют значительные улучшения в нескольких областях: усовершенствована обфускация кода, модернизированы сетевые коммуникации, а также усилены методы противодействия анализу и уклонения от обнаружения.
Среди ключевых технических новшеств — использование команд на основе протокола LDAP для разведки сети и горизонтального перемещения. Сетевой протокол для связи с командным сервером был улучшен; теперь он работает на основе DNS и использует кастомное шифрование. Версия
Изменилась и стратегия распространения ZLoader. Атаки с его использованием стали более точными и целенаправленными, направленными на небольшое число организаций, в отличие от прежних массовых и неизбирательных кампаний.
Изображение носит иллюстративный характер
На данный момент зафиксированы лишь ограниченные развертывания YiBackdoor. Это говорит о том, что вредоносное ПО, скорее всего, находится на стадии разработки или тестирования. Исследователи полагают, что YiBackdoor может использоваться в связке с IcedID и Latrodectus во время проведения кибератак, дополняя их функционал.
Основные возможности YiBackdoor включают выполнение произвольных команд на зараженной системе, сбор системной информации, создание снимков экрана и развертывание плагинов для динамического расширения своих функций. Степень уверенности в том, что за YiBackdoor, IcedID и Latrodectus стоят одни и те же разработчики, оценивается как «от средней до высокой». В этой иерархии Latrodectus считается преемником IcedID, а YiBackdoor — новым компонентом в этом же семействе вредоносных программ.
Для уклонения от анализа вредоносное ПО использует рудиментарные техники, направленные на обход виртуализированных и изолированных сред («песочниц»). Его основная функциональность внедряется в легитимный системный процесс Windows
svchost.exe методом инъекции кода. Механизм закрепления в системе реализован через ключ реестра Windows Run. Сначала вредоносная DLL-библиотека копируется в новую директорию со случайным именем. Затем в реестр добавляется значение с псевдослучайным именем с помощью команды
regsvr32.exe [путь_к_вредоносному_файлу]. После этого оригинальный файл самоудаляется, чтобы затруднить криминалистический анализ системы. Для связи с командным сервером (C2) YiBackdoor извлекает его адрес из встроенного зашифрованного файла конфигурации. Обмен данными и получение команд происходят через HTTP-ответы. Известные команды включают
Systeminfo (сбор метаданных системы), screen (создание скриншота), CMD (выполнение командной строки через cmd.exe), PWS (выполнение команд через PowerShell), plugin (передача команды существующему плагину) и task (инициализация и запуск нового плагина, который передается в зашифрованном виде и закодирован в Base64). Анализ Zscaler выявил конкретные совпадения в коде YiBackdoor, IcedID и Latrodectus, подтверждающие их связь. К ним относятся идентичный метод инъекции кода, одинаковый формат и длина ключа для расшифровки конфигурации, а также схожие процедуры дешифровки как для конфигурационного блока, так и для плагинов.
Параллельно с появлением YiBackdoor продолжается эволюция другого известного вредоносного загрузчика — ZLoader, также известного как DELoader, Terdot или Silent Night. Были обнаружены две его новые версии:
2.11.6.0 и 2.13.7.0. Новые версии ZLoader демонстрируют значительные улучшения в нескольких областях: усовершенствована обфускация кода, модернизированы сетевые коммуникации, а также усилены методы противодействия анализу и уклонения от обнаружения.
Среди ключевых технических новшеств — использование команд на основе протокола LDAP для разведки сети и горизонтального перемещения. Сетевой протокол для связи с командным сервером был улучшен; теперь он работает на основе DNS и использует кастомное шифрование. Версия
2.13.7.0 также получила поддержку протокола WebSockets для коммуникации с C2-сервером. Изменилась и стратегия распространения ZLoader. Атаки с его использованием стали более точными и целенаправленными, направленными на небольшое число организаций, в отличие от прежних массовых и неизбирательных кампаний.
