Встречайте Lu0Bot — скрытного охотника в мире веб-приложений

Современные разработчики вредоносных программ активно используют нестандартные языки программирования, чтобы обойти сложные системы обнаружения. Примером этой тенденции служит вредоносное ПО на Node.js под названием Lu0Bot.

Lu0Bot представляет угрозу для организаций и отдельных лиц, нацеливаясь на универсальную среду выполнения, распространённую в современных веб-приложениях, и используя многоуровневую обфускацию. Несмотря на текущую низкую активность Lu0Bot, атакующие, вероятно, просто ожидают подходящего момента для разрушительной атаки.

Команда аналитиков из ANY.RUN провела глубокий технический анализ одного из последних образцов Lu0Bot. В ходе исследования было выяснено следующее:

1. Статический анализ показал, что образец Lu0Bot использовал SFX-упаковщик. Содержимое архива включало в себя BAT-файл, который в свою очередь содержал исполняемый файл, включая Node-интерпретатор.
2. Динамический анализ в песочнице выявил, что при выполнении основной процесс запускал BAT-файл, который затем запускал исполняемый EXE-файл. Код принимал зашифрованный JavaScript-ввод и собирал системные данные с использованием WMIC, включая информацию о месте выполнения процесса, что соответствовало технологии T1047 MITRE.
3. Технический анализ с использованием дизассемблера и отладчика позволил деобфусцировать основной JavaScript-код и подробно проанализировать его. Было обнаружено, что вредонос собирал системную информацию и создавал массив из 15 элементов с деталями системы. После нескольких других операций все необходимые элементы упаковывались в объект JSON и отправлялись на сервер злоумышленников.

В рамках усилий специалистов было выявлено множество индикаторов компрометации, а также были написаны правила YARA, Sigma и Suricata. Все результаты были интегрированы в ANY.RUN, поэтому теперь платформа без труда распознает любой образец Lu0Bot.

По итогу можно сказать, что Lu0Bot — это необычный вредонос, который комбинирует Node.js и исполняемый JavaScript-код. Он обладает уникальной структурой домена и использует собственные методы шифрования для строк. Хотя в настоящее время его активность низка, Lu0Bot может представлять значительный риск в будущем.