Китайский загрузчик вредоносного ПО Silkloader попал в руки российских хакеров

• 16 марта, 2023
• 13:30

Исследователи угроз из компании WithSecure (ранее F-Secure) – это компания в сфере кибербезопасности. WithSecure предлагает услуги и готовые решения для защиты информации и систем клиентов от различных угроз.

» data-html=»true» data-original-title=»WithSecure»>WithSecure раскрыли информацию о том, как киберпреступные группировки обмениваются друг с другом хакерскими инструментами. Инструмент, отслеживаемый исследовательской группой под названием Silkloader, представляет собой загрузчик-маяк, который использует DLL Sideloading в VLC Media Player для загрузки и запуска Инфраструктура управления и контроля, также известная как C2, или C&C (сокр. от англ. «command-and-control»), представляет собой набор инструментов и методов, которые злоумышленники используют для обмена данными со скомпрометированными устройствами после первоначального вторжения (пост-эксплуатации). Конкретные механизмы атак сильно отличаются друг от друга, но обычно C2 включает один или несколько скрытых каналов связи между устройствами в атакуемой организации и контролируемой злоумышленником платформой. Эти каналы связи используются для передачи инструкций взломанным устройствам, загрузки дополнительных вредоносных данных и передачи украденных данных злоумышленнику.

» data-html=»true» data-original-title=»C2″>C2 Фреймворк (от англ. «framework» – несущая конструкция, каркас, рама) – программная платформа, определяющая структуру программной системы. Это программное обеспечение, облегчающее разработку и объединение разных компонентов большого программного проекта.

» data-html=»true» data-original-title=»фреймворк»>фреймворка Cobalt Strike представляет собой фреймворк для проведения тестов на проникновение, позволяющий доставить на компьютер жертвы полезную нагрузку и управлять ею. Злоумышленники могут использовать Cobalt Strike для развертывания атак с расширенными постоянными угрозами (APT) против вашей организации.

» data-html=»true» data-original-title=»Cobalt Strike»>Cobalt Strike.

«Маяки Cobalt Strike очень хорошо известны, и их обнаружение на защищённой машине практически гарантировано. Однако злоумышленники используют популярное легитимное приложение VLC Media Player, подверженное боковой загрузке вредоносных DLL-библиотек. Таким образом злоумышленникам действительно удаётся обойти антивирусные решения и внедрить вредоносное ПО», — заявили исследователи WithSecure.

По данным исследователей, загрузчик Silkloader был впервые использован в прошлом году, когда был развернут китайскими хакерами против целей в Восточной Азии, в основном в Китае и Гонконге. Однако эта кампания киберпреступной деятельности пошла на убыль и прекратилась в июле 2022 года. Затем, ближе к концу года, компания WithSecure обнаружила ряд кибервторжений с использованием того же Silkloader, но уже в ряде европейских стран.

«Мы считаем, что Silkloader в настоящее время распространяется в рамках российской киберпреступной экосистемы в виде готового загрузчика по программе «Packer-as-a-Service» среди групп вымогателей или через инфраструктуру Cobalt Strike», — сообщил Хасан Неджад, эксперт WithSecure.

По словам Неджада, вполне вероятно, что китайский оператор Silkloader, который, возможно, даже был независимым программистом, продал загрузчик российским хакерам. Неджад предполагает, что покупателем мог быть кто-то тесно связанный с уже несуществующей группировкой Conti.

Паоло Палумбо, вице-президент WithSecure Intelligence, считает, что очевидная доступность Silkloader как услуги также подчёркивает, насколько сложным может быть противодействие финансово мотивированным киберпреступлениям.

«Злоумышленники используют индустрию киберпреступности для приобретения новых возможностей и технологий, чтобы быстро адаптировать свои операции под нужные им цели. Это затрудняет экспертное расследование, ведь связать определённые ресурсы и инструменты с конкретной группой или режимом работы — гораздо сложнее», — заявил Палумбо.

«С другой стороны, это совместное использование хакерами одной и той же инфраструктуры даёт нам возможность придерживаться определённого вектора оборонительной силы, с помощью которого мы можем защищаться от нескольких групп злоумышленников одновременно, создавая стратегии для эффективного противодействия используемым им ресурсам», — оптимистично подытожил вице-президент WithSecure.