Исполнители угроз, стоящие за вредоносным ПО-загрузчиком под названием HijackLoader, добавили новые методы уклонения от защиты, поскольку вредоносное ПО продолжает все чаще использоваться другими исполнителями угроз для предоставления дополнительных полезных нагрузок и инструментов.
"Разработчик вредоносного ПО использовал стандартную технику отключения процесса в сочетании с дополнительным триггером, который активировался родительским процессом, записывающим данные в канал", - сказали исследователи CrowdStrike Донато Онофри и Эмануэле Кальвелли в анализе, опубликованном в среду. "Этот новый подход потенциально может сделать уклонение от защиты более незаметным".
HijackLoader был впервые задокументирован Zscaler ThreatLabZ в сентябре 2023 года как используемый в качестве канала для доставки DanaBot, SystemBC и RedLine Stealer. Также известно, что он имеет высокую степень сходства с другим загрузчиком, известным как IDAT Loader.
Предполагается, что оба загрузчика находятся под управлением одной и той же киберпреступной группы. За прошедшие месяцы HijackLoader был распространен через ClearFake и использован TA544 (он же Narwhal Spider, Gold Essex и Ursnif Gang) для доставки Remcos RAT и SystemBC посредством фишинговых сообщений.
"Думайте о загрузчиках как о волках в овечьей шкуре. Их цель - проникать, внедрять и выполнять более сложные угрозы и инструменты ", - сказал Ливиу Арсен, директор по исследованиям угроз и отчетности CrowdStrike, в заявлении, которым поделились с Hacker News.
"Этот недавний вариант HijackLoader (он же IDAT Loader) усиливает свою игру в скрытность, добавляя новые методы и экспериментируя с ними. Это похоже на улучшение его маскировки, делая его более скрытным, более сложным и более трудным для анализа. По сути, они совершенствуют свой цифровой камуфляж ".
Отправной точкой цепочки многоэтапных атак является исполняемый файл ("streaming_client.exe"), который проверяет наличие активного подключения к Интернету и переходит к загрузке конфигурации второго этапа с удаленного сервера.
Затем исполняемый файл загружает легитимную библиотеку динамических ссылок (DLL), указанную в конфигурации, для активации шелл-кода, ответственного за запуск полезной нагрузки HijackLoader, с помощью комбинации методов дублирования процесса и опустошения процесса, что увеличивает сложность анализа и возможности уклонения от защиты.
"Шелл-код второго этапа HijackLoader, не зависящий от положения, затем выполняет некоторые действия по уклонению, чтобы обойти перехваты пользовательского режима, используя Heaven's Gate, и вводит последующий шелл-код в cmd.exe", - сказали исследователи.
"Внедрение шелл-кода третьей стадии осуществляется с помощью изменения процесса, которое приводит к введению пустой mshtml.dll во вновь созданный cmd.exe дочерний процесс".
Heaven's Gate относится к хитроумному трюку, который позволяет вредоносному программному обеспечению обходить продукты endpoint security путем вызова 64-разрядного кода в 32-разрядных процессах Windows, эффективно обходя перехваты пользовательского режима.
Одним из ключевых методов уклонения, наблюдаемых в последовательностях атак HijackLoader, является использование механизма внедрения процесса, называемого выдалбливанием транзакций, который ранее наблюдался в вредоносных программах, таких как банковский троян Osiris.
"Загрузчики предназначены для скрытого запуска, чтобы злоумышленники могли внедрять и запускать более сложные вредоносные программы и инструменты, не сжигая свои активы на начальных этапах", - сказал Арсен.
"Инвестирование в новые возможности защиты от уклонения для HijackLoader (он же IDAT Loader) потенциально является попыткой сделать его более незаметным и незаметным для традиционных решений безопасности. Новые методы сигнализируют как о преднамеренной, так и об экспериментальной эволюции существующих возможностей уклонения от защиты, одновременно увеличивая сложность анализа для исследователей угроз."
