
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Trojanizowane instalatory legalnego oprogramowania pozostają jedną z najskuteczniejszych metod dostarczania malware do środowisk firmowych i domowych. W najnowszej kampanii napastnicy podszywają się pod znane aplikacje, takie jak Zoom, Webex, MobaXterm, DBeaver czy FaceIT, aby uruchomić wieloetapowy łańcuch infekcji kończący się wdrożeniem backdoora Starland RAT.
Operacja przypisywana grupie UAT-11795 łączy funkcje zdalnego dostępu, kradzieży danych oraz pobierania kolejnych ładunków. To sprawia, że zagrożenie wykracza poza klasyczny model infostealera i może prowadzić do pełnej kompromitacji stacji roboczej.
W skrócie
Badacze opisali kampanię aktywną co najmniej od czerwca 2025 roku, wymierzoną głównie w użytkowników w Stanach Zjednoczonych, ale obejmującą także ofiary w Europie i Ameryce Południowej. Atak wykorzystuje spreparowane instalatory popularnych programów, które uruchamiają loader napisany w Pythonie, ukryty jako nieszkodliwy plik tekstowy.
Po odszyfrowaniu właściwego ładunku uruchamiany jest Starland RAT, zdolny do zbierania danych z przeglądarek, informacji systemowych, danych środowiska Active Directory oraz aktywów z portfeli kryptowalut. W części incydentów kampania dostarczała również CastleStealer oraz Remcos RAT.
Kontekst / historia
Wykorzystywanie zaufanych aplikacji jako nośnika malware nie jest nową techniką, ale jej skuteczność rośnie wraz z popularyzacją pracy zdalnej i narzędzi administracyjnych pobieranych poza kontrolowanym obiegiem IT. Użytkownik, który instaluje znany program z niezweryfikowanego źródła, często nie zakłada, że pakiet został zmodyfikowany.
W analizowanej kampanii badacze powiązali aktywność z rosyjskojęzycznym, finansowo motywowanym podmiotem oznaczonym jako UAT-11795. Celem operacji jest jednoczesne pozyskiwanie poświadczeń, danych z komunikatorów i przeglądarek, informacji domenowych oraz dostępu do portfeli kryptowalut, co wskazuje na szerokie możliwości monetyzacji po uzyskaniu dostępu.
Analiza techniczna
Łańcuch infekcji rozpoczyna się od pliku HTA, który pobiera trojanizowany instalator NSIS. Wewnątrz pakietu umieszczony jest loader w Pythonie, ukryty pod pozorem pliku tekstowego, na przykład LICENSE.txt. Taki zabieg ma ograniczyć podejrzenia użytkownika i utrudnić szybką analizę zawartości instalatora.
Po uruchomieniu loader modyfikuje rejestr Windows w celu uzyskania trwałości, a następnie odszyfrowuje i ładuje właściwy komponent Starland RAT. Malware wykonuje także kontrolę środowiska pod kątem sandboxów, dodaje zadania harmonogramu i wpisy autostartu oraz próbuje podnieść swoje uprawnienia.
Zakres pozyskiwanych informacji jest szeroki i obejmuje dane przeglądarek, zapisane poświadczenia, konfigurację systemu, publiczny adres IP, region, listę zainstalowanego oprogramowania ochronnego oraz informacje o środowisku domenowym. Starland RAT potrafi również wykonywać zrzuty ekranu, uruchamiać polecenia powłoki, wstrzykiwać shellcode w wariantach 32- i 64-bitowych oraz pobierać kolejne pliki wykonywalne, biblioteki DLL, pakiety MSI i archiwa ZIP.
Istotną cechą kampanii jest jej modułowość. W zaobserwowanych przypadkach 64-bitowy łańcuch shellcode prowadził do wdrożenia CastleStealer, natomiast 32-bitowy uruchamiał Remcos RAT. Oznacza to, że operatorzy mogą elastycznie rozszerzać zestaw narzędzi w zależności od celu, architektury systemu i oczekiwanego efektu operacyjnego.
Na uwagę zasługuje również infrastruktura sterująca. Jeśli połączenie z zakodowanym adresem C2 kończy się niepowodzeniem, malware może pozyskać domenę zapasową pośrednio z kontraktu smart contract w sieci Polygon i odszyfrować ją metodą XOR. Badacze wskazali też na framework PowerShell o nazwie WLDR, działający w pamięci i wykorzystujący szyfrowaną komunikację, co dodatkowo utrudnia analizę i detekcję.
Konsekwencje / ryzyko
Dla organizacji kampania stanowi zagrożenie wielowarstwowe. Kradzież poświadczeń i sesji aplikacyjnych może prowadzić do przejęcia kont użytkowników, a dane o domenie i uprawnieniach mogą ułatwić ruch boczny oraz dalszą eskalację wewnątrz sieci.
Obecność komponentów takich jak Remcos RAT oznacza także ryzyko pełnego nadzoru nad zainfekowaną stacją końcową. W praktyce może to obejmować zdalne wykonywanie poleceń, monitorowanie aktywności użytkownika, przechwytywanie obrazu i schowka oraz dalsze dostarczanie kolejnych narzędzi przestępczych.
Szczególnie narażone są środowiska, w których użytkownicy samodzielnie instalują aplikacje spoza oficjalnych źródeł lub poza centralnie zarządzanym repozytorium. Dodatkowym czynnikiem ryzyka jest zainteresowanie operatorów portfelami kryptowalut i danymi finansowymi, co może prowadzić do szybkich i bezpośrednich strat materialnych.
Rekomendacje
Podstawowym środkiem ochrony powinno być ograniczenie instalowania oprogramowania wyłącznie do zatwierdzonych, oficjalnych źródeł oraz wdrożenie polityki allowlistingu aplikacji. Narzędzia do wideokonferencji i administracji powinny być pobierane tylko z portali producentów lub z wewnętrznych repozytoriów IT.
W warstwie detekcji warto monitorować uruchamianie plików HTA, nietypowych instalatorów NSIS, procesów Pythona inicjowanych przez instalatory oraz modyfikacje rejestru odpowiedzialne za trwałość. Istotne jest również wykrywanie nowych zadań harmonogramu, anomalii w folderach autostartu oraz nietypowych łańcuchów pobierania kolejnych payloadów.
- wdrożyć reguły EDR i SIEM pod kątem zachowań charakterystycznych dla RAT-ów i infostealerów,
- blokować lub ściśle nadzorować wykonywanie skryptów PowerShell działających wyłącznie w pamięci,
- analizować ruch wychodzący pod kątem niestandardowych mechanizmów C2 i domen zapasowych,
- przeprowadzić threat hunting na artefakty związane z CastleStealer, Remcos i Starland RAT,
- wykorzystać opublikowane wskaźniki kompromitacji do retrospektywnego przeszukania logów.
Po stronie użytkowników kluczowe pozostaje unikanie uruchamiania plików instalacyjnych spoza oficjalnych kanałów, ostrożność wobec poleceń kopiowanych z internetu oraz szybkie zgłaszanie nietypowych komunikatów instalacyjnych i zachowań systemu.
Podsumowanie
Kampania UAT-11795 pokazuje, że trojanizacja popularnych aplikacji nadal skutecznie omija czujność użytkowników i otwiera drogę do wieloetapowej kompromitacji. Starland RAT pełni w tym modelu rolę nie tylko narzędzia do kradzieży danych, ale także platformy do utrzymania dostępu, rekonesansu i dostarczania kolejnych ładunków.
Dla organizacji oznacza to konieczność połączenia kontroli źródeł oprogramowania, monitoringu zachowań na endpointach oraz aktywnego threat huntingu. Szczególnie ważne staje się wykrywanie nietypowych instalatorów, pamięciowych frameworków C2 i prób uzyskania trwałości w systemie.
Źródła
- https://www.bleepingcomputer.com/news/security/russian-hackers-trojanize-webex-zoom-apps-to-push-starland-malware/
- https://blog.talosintelligence.com/