Исследователи кибербезопасности из компании Securonix обнаружили и детально описали новую вредоносную кампанию под названием SHADOWREACTOR. Основной целью данной операции является скрытная установка инструмента удаленного администрирования Remcos RAT на компьютеры жертв для обеспечения устойчивого внешнего управления. Технический отчет об этой угрозе был предоставлен изданию The Hacker News и описывает сложную многоступенчатую атаку, направленную на обход современных средств защиты в средах Windows.
Аналитики Акшай Гайквад, Шикха Сангван и Аарон Бирдсли, проводившие расследование, на текущий момент не нашли достаточных доказательств для атрибуции кампании конкретной известной хакерской группировке. Однако используемый инструментарий и методы работы (tradecraft) злоумышленников полностью соответствуют профилю брокеров первоначального доступа (Initial Access Brokers, IABs). Эксперты полагают, что основной мотивацией атакующих является финансовая выгода, получаемая за счет создания плацдармов в скомпрометированных сетях с целью их последующей перепродажи другим киберпреступникам.
Активность SHADOWREACTOR носит широкий и оппортунистический характер, затрагивая как крупные корпоративные среды, так и малый и средний бизнес. Атака, как правило, инициируется через взаимодействие пользователя с социально-инженерными приманками, что приводит к запуску обфусцированного скрипта Visual Basic с именем «win64.vbs». Для выполнения этого файла используется легитимный системный процесс Windows «wscript.exe», который выступает в роли облегченного загрузчика для полезной нагрузки PowerShell, закодированной в формате Base64.
На следующем этапе PowerShell-скрипт, используя класс System.Net.WebClient, устанавливает соединение с тем же сервером, откуда был получен исходный VBS-файл. Уникальной технической характеристикой данной кампании является отказ от прямой загрузки бинарных файлов в пользу текстовых стейджеров. В зависимости от архитектуры системы жертвы, скрипт загружает в директорию %TEMP% текстовые файлы с именами «qpwoe64.txt» (для 64-битных систем) или «qpwoe32.txt» (для 32-битных систем).
Загрузчик оснащен продвинутым механизмом самопроверки и «самовосстановления». Скрипт циклически проверяет наличие загруженного файла и его размер, опираясь на заданные параметры minLength (минимальная длина) и maxWait (максимальное время ожидания). Если файл отсутствует или поврежден, инициируется повторная загрузка. При этом, если время ожидания истекает, выполнение сценария продолжается принудительно, что предотвращает полный срыв цепочки атаки из-за сетевых задержек.
После успешной загрузки фрагменты текстового файла реконструируются во вторичный PowerShell-скрипт под названием «jdywa.ps1», который также размещается в директории %TEMP%. Этот скрипт отвечает за вызов сборки, защищенной с помощью Reactor. Весь процесс сборки закодированных загрузчиков и их декодирования осуществляется непосредственно в оперативной памяти, что позволяет избежать создания лишних файлов на диске и усложняет криминалистический анализ.
Финальная стадия атаки использует тактику «Living-off-the-land» (LOLBin), эксплуатируя доверенный процесс Microsoft Windows «MSBuild.exe» для запуска полезной нагрузки. Это приводит к полной установке бэкдора Remcos RAT, предоставляющего злоумышленникам контроль над зараженной системой. Использование легитимных процессов «wscript.exe» и «MSBuild.exe» позволяет обходить белые списки приложений и затрудняет работу антивирусных решений.
Для противодействия анализу кампания включает методы уклонения от защиты, такие как проверки на наличие отладки (Anti-debugging) и виртуальных машин (Anti-VM). Персистентность в системе обеспечивается за счет сброса специальных скриптов-оберток, которые перезапускают «win64.vbs» через «wscript.exe», что свидетельствует о модульной структуре загрузчика, разработанной для максимальной устойчивости и портативности вредоносного ПО.
Изображение носит иллюстративный характер
Аналитики Акшай Гайквад, Шикха Сангван и Аарон Бирдсли, проводившие расследование, на текущий момент не нашли достаточных доказательств для атрибуции кампании конкретной известной хакерской группировке. Однако используемый инструментарий и методы работы (tradecraft) злоумышленников полностью соответствуют профилю брокеров первоначального доступа (Initial Access Brokers, IABs). Эксперты полагают, что основной мотивацией атакующих является финансовая выгода, получаемая за счет создания плацдармов в скомпрометированных сетях с целью их последующей перепродажи другим киберпреступникам.
Активность SHADOWREACTOR носит широкий и оппортунистический характер, затрагивая как крупные корпоративные среды, так и малый и средний бизнес. Атака, как правило, инициируется через взаимодействие пользователя с социально-инженерными приманками, что приводит к запуску обфусцированного скрипта Visual Basic с именем «win64.vbs». Для выполнения этого файла используется легитимный системный процесс Windows «wscript.exe», который выступает в роли облегченного загрузчика для полезной нагрузки PowerShell, закодированной в формате Base64.
На следующем этапе PowerShell-скрипт, используя класс System.Net.WebClient, устанавливает соединение с тем же сервером, откуда был получен исходный VBS-файл. Уникальной технической характеристикой данной кампании является отказ от прямой загрузки бинарных файлов в пользу текстовых стейджеров. В зависимости от архитектуры системы жертвы, скрипт загружает в директорию %TEMP% текстовые файлы с именами «qpwoe64.txt» (для 64-битных систем) или «qpwoe32.txt» (для 32-битных систем).
Загрузчик оснащен продвинутым механизмом самопроверки и «самовосстановления». Скрипт циклически проверяет наличие загруженного файла и его размер, опираясь на заданные параметры minLength (минимальная длина) и maxWait (максимальное время ожидания). Если файл отсутствует или поврежден, инициируется повторная загрузка. При этом, если время ожидания истекает, выполнение сценария продолжается принудительно, что предотвращает полный срыв цепочки атаки из-за сетевых задержек.
После успешной загрузки фрагменты текстового файла реконструируются во вторичный PowerShell-скрипт под названием «jdywa.ps1», который также размещается в директории %TEMP%. Этот скрипт отвечает за вызов сборки, защищенной с помощью Reactor. Весь процесс сборки закодированных загрузчиков и их декодирования осуществляется непосредственно в оперативной памяти, что позволяет избежать создания лишних файлов на диске и усложняет криминалистический анализ.
Финальная стадия атаки использует тактику «Living-off-the-land» (LOLBin), эксплуатируя доверенный процесс Microsoft Windows «MSBuild.exe» для запуска полезной нагрузки. Это приводит к полной установке бэкдора Remcos RAT, предоставляющего злоумышленникам контроль над зараженной системой. Использование легитимных процессов «wscript.exe» и «MSBuild.exe» позволяет обходить белые списки приложений и затрудняет работу антивирусных решений.
Для противодействия анализу кампания включает методы уклонения от защиты, такие как проверки на наличие отладки (Anti-debugging) и виртуальных машин (Anti-VM). Персистентность в системе обеспечивается за счет сброса специальных скриптов-оберток, которые перезапускают «win64.vbs» через «wscript.exe», что свидетельствует о модульной структуре загрузчика, разработанной для максимальной устойчивости и портативности вредоносного ПО.
