Злоумышленники ежедневно создают новые вредоносные программы для кибератак. Каждый такой имплант разрабатывается по-своему, и имеет свою судьбу. Одни семейства остаются на слуху десятилетиями, тогда как сведения о других исчезают спустя несколько дней, месяцев или лет.
Именно такую ситуацию мы наблюдали с имплантом, который мы назвали MysterySnail RAT. Мы обнаружили его еще в 2021 году, исследуя уязвимость нулевого дня CVE-2021-40449. Тогда нам удалось связать этот бэкдор с китаеязычной APT-группой IronHusky, действующей как минимум с 2017 года. Мы опубликовали о нем статью, и после этого не было никаких публичных отчетов по теме — дальнейшая судьба импланта оставалась неизвестной.
Однако недавно нам удалось зафиксировать попытки развертывания новой версии MysterySnail в государственных учреждениях Монголии и России. Такой выбор целей нас не удивил. Еще в 2018 году мы писали, что связанная с троянцем группа IronHusky проявляет особый интерес к этим странам. Как выяснилось, имплант активно использовался в кибератаках все эти годы, просто публичные сообщения о нем отсутствовали.
Оглавление
Заражение через вредоносный скрипт MMC
Одно из последних зафиксированных нами заражений было вызвано вредоносным скриптом MMC, замаскированным под документ Национального земельного агентства Монголии (ALAMGAC):
Внешний вид файла вредоносного скрипта MMC в проводнике Windows (имеет значок документа Microsoft Word).
Проанализировав скрипт, мы установили, что он:
загружает ZIP-архив со второй ступенью полезной нагрузки и файл-приманку в формате DOCX из общедоступного хранилища file[.]io;
распаковывает архив и помещает легитимный файл DOCX в папку %AppData%CiscoPluginsX86binetcUpdate;
запускает файл CiscoCollabHost.exe, извлеченный из ZIP-архива;
обеспечивает закрепление исполняемого файла CiscoCollabHost.exe в системе с помощью записи в раздел реестра Run;
открывает на экране жертвы загруженный документ-приманку.
Промежуточный бэкдор
Мы изучили файл
CiscoCollabHost.exe и выяснили, что это легитимный исполняемый файл. Однако в архиве, внедренном злоумышленниками, была обнаружена вредоносная библиотека CiscoSparkLauncher.dll, которая должна загружаться легитимным процессом с помощью техники DLL sideloading.
Мы обнаружили, что эта библиотека DLL представляет собой ранее неизвестный промежуточный бэкдор, обменивающийся данными с командным сервером с помощью легитимного проекта piping-server с открытым исходным кодом. Интересной особенностью работы этого бэкдора является то, что информация об используемых им функциях API Windows хранится не в самом вредоносном DLL-файле, а во внешнем файле с относительным путем
logMYFC.log. Этот файл зашифрован однобайтовым XOR и загружается во время выполнения. Скорее всего, злоумышленники добавили этот файл в бэкдор как меру защиты от анализа, поскольку без доступа к нему невозможно точно определить вызываемые API-функции. В результате процесс обратного инжиниринга бэкдора фактически превращается в гадание.
Взаимодействуя с легитимным сервером
https://ppng.io, который используется в проекте piping-server, бэкдор может запрашивать команды у злоумышленников и отправлять им результаты их выполнения. Он поддерживает следующий набор основных вредоносных команд.
Название команды
Описание команды
RCOMM
Запуск командных оболочек
FSEND
Загрузка файлов с командного сервера
FRECV
Выгрузка файлов на командный сервер
FSHOW
Перечисление содержимого каталога
FDELE
Удаление файлов
FEXEC
Создание нового процесса
REXIT
Завершение работы бэкдора
RSLEE
Переход в спящий режим
RESET
Сброс счетчика времени ожидания соединения с командным сервером
Как мы выяснили, с помощью команд этого бэкдора злоумышленники внедрили на компьютер жертвы следующие файлы:
sophosfilesubmitter.exe — легитимный исполняемый файл;
fltlib.dll — вредоносная библиотека, загружаемая методом DLL sideloading.
Наша телеметрия показала, что цифровой след этих файлов принадлежит вредоносному ПО MysterySnail RAT — импланту, о котором мы сообщали еще в 2021 году.
Новая версия MysterySnail RAT
В наблюдаемых случаях заражения MysterySnail RAT был настроен так, чтобы закрепляться в скомпрометированных машинах в виде службы. Его вредоносная DLL, развертываемая промежуточным бэкдором, загружала полезную нагрузку, зашифрованную с использованием алгоритмов RC4 и XOR, из файла с названием
attach.dat. После расшифровки эта полезная нагрузка рефлективно загружалась при помощи метода DLL Hollowing с использованием кода, реализованного в библиотеке run_pe.
Как и версия MysterySnail RAT, о которой мы сообщали в 2021 году, последняя версия этого импланта использует для связи HTTP-серверы, развернутые злоумышленниками. Мы наблюдали коммуникации со следующими серверами:
watch-smcsvc[.]com;
leotolstoys[.]com;
leotolstoys[.]com.
Проанализировав набор команд, реализованных в последней версии этого бэкдора, мы увидели сильное сходство с версией MysterySnail RAT от 2021 года. Новый имплант способен принимать около 40 команд, что позволяет ему:
управлять файловой системой (чтение, запись и удаление файлов, а также перечисление дисков и каталогов);
выполнять команды через оболочку cmd.exe;
создавать и завершать процессы;
управлять службами;
подключаться к сетевым ресурсам.
В отличие от образцов MysterySnail RAT, которые мы описывали в статье 2021 года, в новых образцах эти команды реализованы иначе. Если в версии 2021 года команды выполнялись внутри одного вредоносного компонента, то в недавно обнаруженной версии импланта команды выполняются через пять дополнительных DLL-модулей, загружаемых во время выполнения. Ниже перечислены эти модули.
Внутренний идентификатор модуля
Внутреннее имя модуля
Имя DLL-библиотеки модуля
Описание модуля
0
Basic
BasicMod.dll
Позволяет перечислять содержимое дисков, удалять файлы и делать цифровой отпечаток зараженной машины
1
EMode
ExplorerMoudleDll.dll (sic!)
Позволяет считывать файлы, управлять службами и создавать новые процессы
2
PMod
process.dll
Позволяет перечислять запущенные процессы и завершать их
3
CMod
cmd.dll
Позволяет создавать новые процессы и командные оболочки
4
TranMod
tcptran.dll
Позволяет подключаться к сетевым ресурсам
Переход к модульной архитектуре не является чем-то новым — мы уже видели развертывание модульных версий MysterySnail RAT в 2021 году. Эти версии включали те же модули, что и описанные выше, вплоть до ошибки в названии модуля
ExplorerMoudleDll.dll. Тогда мы оперативно представили информацию об этих версиях подписчикам сервиса аналитических отчетов об APT-угрозах «Лаборатории Касперского».
MysteryMonoSnail — переработанная версия MysterySnail RAT
Примечательно, что вскоре после того как мы остановили описанную атаку MysterySnail RAT, злоумышленники продолжили свои атаки, развернув переработанную и более легкую версию этого вредоносного ПО. Мы назвали ее MysteryMonoSnail, так как она состоит всего из одного компонента. Мы также отметили, что она связывалась с теми же адресами командных серверов, что и полноценная версия MysterySnail RAT, но использовала другой протокол: WebSocket вместо HTTP.
Эта версия не обладает такими широкими возможностями, как описанная здесь полная версия MysterySnail RAT, и включает всего 13 основных команд для просмотра содержимого каталогов, записи данных в файлы, запуска процессов и командных оболочек.
Устаревшие семейства зловредов могут вернуться в любой момент
Четыре года — это довольно большой промежуток времени между публикациями о MysterySnail RAT. Примечательно, что за это время внутреннее устройство этого бэкдора практически не изменилось. Например, опечатка в файле
ExplorerMoudleDll.dll, которую мы отмечали ранее, присутствовала в модульной версии MysterySnail RAT 2021 года. Кроме того, команды, реализованные в версии 2025 года этого RAT, выполняются аналогично импланту версии 2021 года. Именно поэтому при активном поиске угроз важно учитывать, что старые семейства вредоносных программ, о которых не сообщалось годами, в отсутствие широкой огласки могут продолжать свою деятельность. В связи с этим сигнатуры, предназначенные для обнаружения исторических семейств вредоносных программ, нельзя исключать из баз только потому, что они кажутся устаревшими.
Команда GReAT «Лаборатории Касперского» с 2008 года занимается обнаружением сложных угроз и предоставляет клиентам портала Kaspersky Threat Intelligence Portal наборы индикаторов компрометации как для старых, так и для новых вредоносных программ. Если вы хотите получить доступ к этим индикаторам и другой информации о прошлых и текущих угрозах, свяжитесь с нами по адресу intelreports@kaspersky.com.
Securelist