1 ярлык в автозагрузке — и сеть под контролем. Хакеры научились ловить команды прямо из трафика
NewsMakerСпециалисты разобрали новую версию шпионского бэкдора DRBControl и показали, как он скрытно проникает в корпоративные системы.
Японская компания Internet Initiative Japan (IIJ) сообщила о наблюдении новой версии вредоносного ПО Type 1 Backdoor, которое связывают с кибершпионской группировкой DRBControl. Анализ показал, что в атаках используется сложная многоступенчатая схема загрузки, а сам бэкдор получил ряд заметных изменений по сравнению с ранее известными образцами.
DRBControl — это APT-группа, о которой стало известно ещё в 2020 году. Исследователи тогда описывали её как операторов кибершпионской кампании, нацеленной в том числе на игорный бизнес, и допускали связь с APT41 и APT272. Новые находки IIJ указывают на то, что активность группы могла продолжаться и в последующие годы.
В ходе расследования специалисты обратили внимание на подозрительный DLL-файл, загруженный на VirusTotal из Тайваня под именем wlbsctrl.dll. Он маскировался под легитимную библиотеку Windows и, предположительно, запускался через DLL side-loading . При вызове экспортируемой функции файл считывал данные из ntuser.ini, внедрял их в процесс winlogon.exe и запускал код уже в его контексте. Этот код представлял собой шеллкод, который, по мнению исследователей, является вариантом загрузчика Mofu Loader.
После запуска шеллкод динамически разрешал адреса ключевых Windows API, расшифровывал встроенные данные, распаковывал их и передавал управление следующей стадии — DLL-бэкдору Type 1 Backdoor с намеренно повреждённым PE-заголовком. Подобная схема, а также совпадения в алгоритмах шифрования и используемых API, позволили IIJ с высокой уверенностью связать обнаруженный загрузчик с семейством Mofu Loader, которое ранее применялось для доставки других RAT и использовалось разными APT-группами.
Японская компания Internet Initiative Japan (IIJ) сообщила о наблюдении новой версии вредоносного ПО Type 1 Backdoor, которое связывают с кибершпионской группировкой DRBControl. Анализ показал, что в атаках используется сложная многоступенчатая схема загрузки, а сам бэкдор получил ряд заметных изменений по сравнению с ранее известными образцами.
DRBControl — это APT-группа, о которой стало известно ещё в 2020 году. Исследователи тогда описывали её как операторов кибершпионской кампании, нацеленной в том числе на игорный бизнес, и допускали связь с APT41 и APT272. Новые находки IIJ указывают на то, что активность группы могла продолжаться и в последующие годы.
В ходе расследования специалисты обратили внимание на подозрительный DLL-файл, загруженный на VirusTotal из Тайваня под именем wlbsctrl.dll. Он маскировался под легитимную библиотеку Windows и, предположительно, запускался через DLL side-loading . При вызове экспортируемой функции файл считывал данные из ntuser.ini, внедрял их в процесс winlogon.exe и запускал код уже в его контексте. Этот код представлял собой шеллкод, который, по мнению исследователей, является вариантом загрузчика Mofu Loader.
После запуска шеллкод динамически разрешал адреса ключевых Windows API, расшифровывал встроенные данные, распаковывал их и передавал управление следующей стадии — DLL-бэкдору Type 1 Backdoor с намеренно повреждённым PE-заголовком. Подобная схема, а также совпадения в алгоритмах шифрования и используемых API, позволили IIJ с высокой уверенностью связать обнаруженный загрузчик с семейством Mofu Loader, которое ранее применялось для доставки других RAT и использовалось разными APT-группами.