SMOKEDHAM: искусство цифровой маскировки от UNC2465

Согласно отчёту исследователей из Trac LABS, хакерская группа UNC2465, движимая финансовой выгодой, активно применяет бэкдор SMOKEDHAM как основной инструмент для проникновения в корпоративные сети.

Злоумышленники получают первичный доступ к целевым системам через классическую триаду атак: фишинговые рассылки, заражённое программное обеспечение и компрометацию цепочек поставок. Такой подход позволяет группе эффективно скрывать своё присутствие при перемещении внутри скомпрометированной инфраструктуры.

После вторжения в сеть атакующие используют инструменты вроде Advanced IP Scanner и BloodHound для разведки, RDP — для перемещения по системе, а Mimikatz — для сбора учётных данных. В прошлом группа применяла вирусы-шифровальщики DARKSIDE и LOCKBIT, но последние вредоносные кампании также показывают использование SMOKEDHAM через зловредную рекламу и скомпрометированные программы.

Заражение начинается с NSIS-скрипта, который устанавливает постоянство на заражённом устройстве и загружает вредоносные файлы. Скрипт проверяет наличие нужных компонентов и записей в реестре, чтобы избежать повторного выполнения. Затем создаются папки, загружается архив с паролем и извлекаются как легитимные, так и вредоносные инструменты.

Изменяя записи в реестре, скрипт гарантирует запуск вредоносного ярлыка при старте системы. Также он настраивает службу MSDTC с высокими привилегиями для возможной подмены DLL-библиотек. В финале выполняется бат-скрипт, который через PowerShell загружает и запускает вредоносную .NET-программу с удалённого сервера.

Программа использует C2-сервер для связи, отправляя информацию о заражённой системе, включая имя компьютера и пользователя. Сервер может передавать команды для дальнейшего изучения системы, такие как «whoami» или «systeminfo», а также выполнять произвольные действия. Для скрытности применяется шифрование RC4.

Также вредоносная программа способна делать скриншоты и загружать или выгружать файлы. В версии с PowerShell она внедряет свой код прямо в память устройства для выполнения без следов на диске.

Кроме того, злоумышленники подписывают исполняемые файлы с вредоносными DLL-библиотеками с помощью сертификатов с расширенной верификацией, чтобы исполнять скрытые скрипты.

NSIS-скрипт проверяет, входит ли устройство в состав DOMAIN, и если нет, запрашивает данные с определённого экземпляра Amazon EC2. Постоянство заражения достигается копированием легитимного файла «oleview.exe» с переименованной DLL-библиотекой и добавлением записи в реестр для автозапуска.

В одной из атак злоумышленники использовали команду «systeminfo» и список директорий для сбора информации о системе. Затем через ссылку на Dropbox был загружен PowerShell-скрипт с вредоносными инструкциями. Скрипт создал каталог в ProgramData и скачал дополнительные файлы, включая модификацию «winlogon.exe» и настройки удалённого доступа (UltraVNC.ini).

Затем модифицированный «winlogon.exe» был запущен, что позволило установить удалённое подключение к серверу злоумышленника через UltraVNC, используя порт 443. Это указывает на стремление атакующих получить удалённый доступ и повысить привилегии в системе.

В рассмотренном экспертами случае особенно показательно, как современные киберпреступники умело сочетают социальную инженерию, легитимные инструменты и продвинутые технические приёмы, создавая многоуровневые атаки, которые сложно обнаружить традиционными средствами защиты.

Особую тревогу вызывает их способность маскировать вредоносную активность под легальную деятельность, что требует комплексного подхода к кибербезопасности, выходящего за рамки стандартных антивирусных решений.