Весит всего 23 килобайта и обходит EDR. Как устроен новый скрытный фреймворк FalkonC2
NewsMakerФайлов нет, следов нет — есть только ваши финансовые данные на чужом сервере.
Корпоративные сети редко становятся жертвами случайных атак — за большинством взломов стоит тщательно выверенный инструментарий, который специально разрабатывается под конкретные цели. Аналитики компании Flare обнаружили и изучили FalkonC2 — коммерческий фреймворк для удалённого управления заражёнными устройствами. Его авторы изначально ориентировались на корпоративный сегмент: система написана с нуля на C++ и MASM64 и создана для работы в сетях с профессиональной защитой.
Ключевой модуль фреймворка, Rotemelli2, весит от 23 до 35 КБ, не записывает ничего на диск и целенаправленно обходит корпоративные защитные системы класса EDR и XDR — программные комплексы, которые отслеживают подозрительную активность на конечных устройствах. Для связи с управляющими серверами FalkonC2 переключается между несколькими протоколами, включая DNS-туннелирование и ICMP-сигналы. Домены для связи меняются каждые 72 часа, что существенно затрудняет отслеживание на уровне сети.
В одной из тестовых демонстраций авторы показали, как легитимный инструмент удалённого доступа ConnectWise ScreenConnect переименовывается, запускается скрытно, а затем загружает вредоносный модуль в память и повышает привилегии до уровня системного администратора Windows. Никаких следов на диске — только малозаметная активность в оперативной памяти.
Отдельного внимания заслуживает функция проверки заражённых машин на наличие бухгалтерского программного обеспечения — Intuit QuickBooks и Sage50 Accounting. Устройства с такими программами получают приоритет для автоматической выгрузки данных. Утёкшая панель управления FalkonC2 показала активные заражения в корпоративных сетях США, Австралии, Нидерландов и Польши. Задержаний и закрытия инфраструктуры на момент публикации отчёта не было.
Flare продолжает отслеживать фреймворк, который, по имеющимся данным, развивается в направлении атак на корпоративные среды. Для снижения риска рекомендуется контролировать разрешённые инструменты удалённого доступа, отслеживать переименованные RMM -клиенты, вести мониторинг необычного DNS - и ICMP -трафика, включить проверку памяти и хранить телеметрию расследований во внешних системах — чтобы возможный локальный сбой не уничтожил следы атаки.
Корпоративные сети редко становятся жертвами случайных атак — за большинством взломов стоит тщательно выверенный инструментарий, который специально разрабатывается под конкретные цели. Аналитики компании Flare обнаружили и изучили FalkonC2 — коммерческий фреймворк для удалённого управления заражёнными устройствами. Его авторы изначально ориентировались на корпоративный сегмент: система написана с нуля на C++ и MASM64 и создана для работы в сетях с профессиональной защитой.
Ключевой модуль фреймворка, Rotemelli2, весит от 23 до 35 КБ, не записывает ничего на диск и целенаправленно обходит корпоративные защитные системы класса EDR и XDR — программные комплексы, которые отслеживают подозрительную активность на конечных устройствах. Для связи с управляющими серверами FalkonC2 переключается между несколькими протоколами, включая DNS-туннелирование и ICMP-сигналы. Домены для связи меняются каждые 72 часа, что существенно затрудняет отслеживание на уровне сети.
В одной из тестовых демонстраций авторы показали, как легитимный инструмент удалённого доступа ConnectWise ScreenConnect переименовывается, запускается скрытно, а затем загружает вредоносный модуль в память и повышает привилегии до уровня системного администратора Windows. Никаких следов на диске — только малозаметная активность в оперативной памяти.
Отдельного внимания заслуживает функция проверки заражённых машин на наличие бухгалтерского программного обеспечения — Intuit QuickBooks и Sage50 Accounting. Устройства с такими программами получают приоритет для автоматической выгрузки данных. Утёкшая панель управления FalkonC2 показала активные заражения в корпоративных сетях США, Австралии, Нидерландов и Польши. Задержаний и закрытия инфраструктуры на момент публикации отчёта не было.
Flare продолжает отслеживать фреймворк, который, по имеющимся данным, развивается в направлении атак на корпоративные среды. Для снижения риска рекомендуется контролировать разрешённые инструменты удалённого доступа, отслеживать переименованные RMM -клиенты, вести мониторинг необычного DNS - и ICMP -трафика, включить проверку памяти и хранить телеметрию расследований во внешних системах — чтобы возможный локальный сбой не уничтожил следы атаки.