Кейлоггер с секретом: как Andariel «вставляет палки в колёса» аналитикам

Новый кейлоггер, связанный с северокорейской группировкой Andariel, недавно был выявлен в ходе анализа на платформе Hybrid Analysis. Также известная как APT45, Silent Chollima или Onyx Sleet, группа Andariel предположительно нацелена на американские организации. Специалисты провели исследование возможностей этой вредоносной программы, в том числе её функций для регистрации нажатий клавиш и движения мыши.

Одной из особенностей кейлоггера является использование «мусорного» кода, затрудняющего анализ. Этот код специально внедрён для усложнения работы аналитиков и предотвращения быстрого обнаружения. Анализ показал, что кейлоггер устанавливает глобальные «хуки» на уровне Windows для захвата событий клавиатуры и мыши.

В процессе работы кейлоггер регистрирует информацию о нажимаемых клавишах и действиях мыши, которая сохраняется в архиве, защищённом паролем. Файл создаётся во временной папке, а доступ к этим данным защищён паролем. Эксперты выявили, что кейлоггер также может изменять записи в реестре Windows, что помогает ему оставаться активным даже после перезагрузки системы.

Также выявлено, что кейлоггер перехватывает и записывает содержимое буфера обмена, используя соответствующие системные вызовы. Это позволяет злоумышленникам получить данные, которые пользователь скопировал, например, пароли или другую конфиденциальную информацию.

Кроме того, программа регистрирует временные метки событий, фиксируя дату и время каждого нового действия. Такой подход позволяет собирать более полную картину пользовательских действий за компьютером.

Вредоносное ПО группы Andariel продолжает эволюционировать, демонстрируя, как серьёзные угрозы адаптируются к методам защиты и аналитике. Включение «мусорного» кода и методов уклонения усложняет задачу специалистам по безопасности, подчёркивая необходимость постоянного совершенствования инструментов киберзащиты.

Этот кейлоггер — не просто средство сбора данных, но и пример хитроумной маскировки, усложняющей противодействие и подчёркивающей важность своевременного обнаружения подобных угроз.