Новая фишинговая кампания использует DBatLoader для удаления Remcos RAT: что нужно знать аналитикам

Аналитики ANY.RUN недавно обнаружили скрытую фишинговую кампанию, доставляющую Remcos RAT (троян удаленного доступа) через вредоносную программу-загрузчик, известную как DBatLoader. Эта цепочка атак основана на сочетании запутанных скриптов, обходе контроля учетных записей пользователей (UAC) и злоупотреблении LOLBAS (бинарные файлы и скрипты, живущие вне Земли), чтобы оставаться скрытыми от традиционных методов обнаружения.

Особенно опасной эту кампанию делает то, что она использует встроенные инструменты Windows и доверенные системные процессы для маскировки под обычную деятельность, что значительно затрудняет ее обнаружение только с помощью сигнатур.

Давайте рассмотрим всю цепочку заражения и посмотрим, как можно безопасно обнаружить эти методы за считанные секунды с помощью правильных аналитических решений.

Чтобы понять, как работает эта фишинговая кампания от начала до конца, давайте посмотрим, как она разворачивается внутри интерактивной «песочницы» ANY.RUN, где каждый шаг визуализируется, отслеживается и записывается в режиме реального времени.

Просмотреть полную сессию анализа

От первоначальной поставки до поведения после эксплуатации «песочница» раскрывает полную картину, предоставляя группам SOC необходимую им видимость для более быстрого реагирования и помогая компаниям снизить риск молчаливого долгосрочного нарушения.

Полная цепочка атак последней фишинговой угрозы внутри песочницы ANY.RUN:

Phishing Email → Malicious Archive → DBatLoader Execution → Obfuscated CMD Scripts → Remcos Injected into .exe

Внутри песочницы вы можете визуально отслеживать каждый этап атаки по мере ее развития, например:

Посмотрите, как архив запускает DBatLoader и как запутанные скрипты .cmd начинают выполнять подозрительные команды.

Узнайте, когда и где именно Remcos внедряется в легитимные системные процессы, с помощью деревьев процессов и индикаторов памяти, обновляемых в режиме реального времени.

Наблюдайте за методами сохранения в действии, такими как создание запланированных задач, внесение изменений в реестр и использование файлов .url и .pif, которые четко отображаются в журнале активности системы.

Чтобы лучше понять тактику, стоящую за этой фишинговой атакой, вы можете использовать встроенное отображение MITRE ATT&CK в ANY.RUN. Просто нажмите кнопку «ATT&CK» в правом верхнем углу интерфейса песочницы.

Это представление мгновенно выделяет методы, используемые во время анализа, сгруппированные по тактикам, таким как выполнение, настойчивость, эскалация привилегий и т. д. Это быстрый, удобный для аналитиков способ связать поведение с реальной разведкой угроз, ручное картирование не требуется.

Независимо от того, проводите ли вы сортировку или составляете отчеты, эта функция помогает службам безопасности действовать быстрее и предоставляет менеджерам четкие доказательства того, как действуют угрозы и где можно обойти средства защиты.

Вот некоторые из ключевых тактик, наблюдавшихся в ходе сессии, и то, как их можно легко обнаружить в песочнице:

1. Faktura.exe: Файл-приманка

Жертвы получают фишинговое письмо, содержащее архив с Faktura.exe, выдающий себя за легитимный счет-фактуру. При открытии оно запускает атаку.

Большинство инструментов безопасности электронной почты не помечают этот файл, если он неизвестен или не соответствует известным IOC. В ANY.RUN вы можете сразу увидеть Faktura.exe в дереве процессов и наблюдать, как он порождает вредоносную активность, давая аналитикам ясность с самого первого щелчка.

1. DBatLoader: Начальный загрузчик

После того, как жертва открывает фишинговый архив, запускается DBatLoader . Он отвечает за запуск цепочки заражения путем запуска запутанных скриптов.

В дереве процессов DBatLoader отображается как брошенный .exe, немедленно порождающий cmd.exe. Вы можете проверить командные строки и активность файловой системы, а также увидеть, как именно начинается выполнение скрипта.

1. Скрытое выполнение с помощью CMD-файлов, замаскированных под BatCloak

В ходе этого сеанса анализа мы видим, что скрипты .cmd, замаскированные с помощью BatCloak, используются для загрузки и выполнения вредоносной нагрузки.

Обфускация скрывает намерение от статических сканеров. В песочницах, таких как ANY.RUN, вы можете открыть представление командной строки и увидеть каждую декодированную инструкцию и подозрительный шаблон по мере их выполнения, ручное декодирование не требуется.

1. Злоупотребление LOLBAS с помощью Esentutl.exe

Легитимная утилита esentutl.exe используется для копирования cmd.exe в alpha.pif, переименованный дроппер, который должен выглядеть безвредным.

Операции копирования файлов с использованием esentutl.exe отображаются в дереве процессов ANY.RUN и активности файловой системы, включая полные пути и контекст команды.

1. Запланированные задачи Триггер .url → .pif Выполнение

Создается запланированная задача для запуска Cmwdnsyn.url, которая запускает файл .pif при загрузке или через регулярные интервалы.

Запланированные задачи являются распространенным механизмом сохранения, но в сложных средах они часто остаются незамеченными. С помощью ANY.RUN вы можете мгновенно увидеть, когда и как создается задача, отслеживать ее цепочку выполнения в дереве процессов и проверять связанные изменения файлов и реестра.

Это дает группам SOC четкое представление о том, как вредоносное ПО остается активным с течением времени, что упрощает разработку правил обнаружения, документирование метода сохранения и обеспечение его полного удаления.

1. Обход UAC с помощью поддельного каталога «C:\Windows»

Фиктивный каталог (C:\Windows с пробелом) используется для обхода запросов UAC путем эксплуатации особенностей обработки путей Windows.

Эта фишинговая кампания наглядно демонстрирует, насколько далеко заходят злоумышленники, чтобы оставаться незамеченными, используя встроенные инструменты Windows, искусственно созданную настойчивость и тонкие приемы повышения привилегий, которые легко обходят традиционные средства защиты.

С анализом в песочнице, особенно с помощью такого инструмента, как ANY.RUN, команды по безопасности получают ясность и скорость, необходимые для опережения этих угроз. Вы можете наблюдать за каждым шагом заражения, раскрывать методы, которые пропускают статические инструменты, и действовать с уверенностью.

• Более быстрое реагирование на инциденты благодаря поведенческому анализу в реальном времени
• Сокращение времени ожидания за счет выявления угроз до их распространения
• Более обоснованные решения в области безопасности благодаря отслеживанию тактики злоумышленников
• Повышение уровня соответствия и готовности к аудиту с помощью подробных отчетов, которыми можно поделиться

В честь своего 9-летия ANY.RUN предлагает ограниченную по времени акцию:

Получите бонусные лицензии Interactive Sandbox или удвойте квоту TI Lookup. Доступно только до 31 мая 2025 года.

Не упустите свой шанс усовершенствовать процесс обнаружения и реагирования на угрозы с помощью решений, которым доверяют более 15 000 организаций по всему миру.