Код-хамелеон: китайские хакеры научили вирусы быть невидимками

Команда Google Threat Intelligence Group (GTIG) раскрыла новую шпионскую кампанию китайских хакеров . Основное внимание привлек вредонос POISONPLUG.SHADOW, использующий новый метод обфускации кода под названием ScatterBrain. Инструмент, развившийся из ранее известного ScatterBee, значительно усложняет анализ вредоносных программ, позволяя злоумышленникам скрывать свое присутствие в системах жертв.

POISONPLUG.SHADOW является одной из нескольких известных разновидностей POISONPLUG, модульного бэкдора, активно применяемого хакерами из Китая. Аналитики GTIG считают, что в отличие от других версий, эта модификация используется исключительно группировкой APT41, известной своими масштабными кибератаками на государственные и коммерческие организации.

Главной особенностью ScatterBrain является использование сложного обфускатора, который мешает традиционным методам анализа вредоносного кода. Этот обфускатор усложняет как статическое изучение программ, так и динамический анализ в песочницах. В результате у специалистов уходит больше времени на выявление вредоносной активности, что позволяет хакерам дольше оставаться незамеченными.

Специалисты смогли провести статическую деобфускацию, не требующую сторонних фреймворков. Несмотря на отсутствие самого компилятора ScatterBrain, получилось воссоздать алгоритмы защиты, применяемые в атаках, и найти способ их обхода. Выяснилось, что обфускатор постоянно дорабатывается, а его механизмы становятся сложнее.

ScatterBrain работает в трех режимах, используемые в зависимости от целей атаки:

1. Selective — защита применяется только к выбранным функциям в коде, а все остальное остается неизменным. Режим часто используется для начальной загрузки вредоносного ПО в систему жертвы.
2. Complete — режим полной обфускации, в котором все функции кода скрыты и защищены. Этот метод применяется для модулей, которые взаимодействуют с основным бэкдором.
3. Complete Headerless — наиболее сложная версия защиты, при которой удаляется заголовок PE-файла, а данные дополнительно зашифровываются. Этот метод применяется для скрытия основного вредоносного модуля.

Одной из самых сложных техник, применяемых в ScatterBrain, является система динамических диспетчеров инструкций. Она разбивает код на небольшие сегменты и использует уникальные алгоритмы для передачи управления, что делает автоматическое восстановление кода практически невозможным.

Кроме того, злоумышленники применяют непрозрачные предикаты — специальные конструкции, создающие искусственные условия выполнения кода. Это мешает системам анализа выявлять настоящую логику программы и еще больше запутывает экспертов.

Дополнительно используется защита импорта, при которой API-вызовы скрываются с помощью зашифрованных таблиц. Это делает невозможным простой анализ зависимостей вредоносной программы и мешает автоматическим средствам обнаружения.

Аналитики подчеркивают, что ScatterBrain — это только один из примеров растущего уровня сложности вредоносных программ. Хакерские группировки совершенствуют методы маскировки, создавая все более сложные системы защиты, которые затрудняют их обнаружение.

Google настоятельно рекомендует компаниям укреплять системы киберзащиты, использовать продвинутые решения для анализа вредоносного кода и своевременно обновлять системы безопасности.