Archiwa: PowerShell - Strona 15 z 41 - Security Bez Tabu

Tag: PowerShell

Operacja REF1695: fałszywe instalatory ISO rozprzestrzeniają RAT-y i koparki kryptowalut

Cybersecurity news

Wprowadzenie do problemu / definicja

Operacja REF1695 to długotrwała kampania cyberprzestępcza nastawiona na monetyzację zainfekowanych systemów poprzez zdalny dostęp, oszustwa afiliacyjne oraz nieautoryzowane kopanie kryptowalut. Atakujący wykorzystują fałszywe instalatory dostarczane w obrazach ISO, łącząc socjotechnikę z wieloetapowym łańcuchem infekcji oraz zestawem narzędzi obejmujących trojany zdalnego dostępu, niestandardowe loadery i koparki Monero.

W skrócie

Kampania REF1695 jest aktywna co najmniej od końca 2023 roku i ma wyraźnie finansowy charakter. Ofiary są nakłaniane do uruchamiania spreparowanych instalatorów oraz ręcznego obchodzenia ostrzeżeń SmartScreen, po czym malware uruchamia polecenia PowerShell, osłabia ochronę Microsoft Defender, wdraża kolejne moduły i instaluje komponenty takie jak CNB Bot, PureRAT, PureMiner oraz niestandardowe loadery XMRig.

  • Wektor wejścia: obrazy ISO z fałszywymi instalatorami
  • Główne cele: cryptojacking, zdalny dostęp i dodatkowa monetyzacja afiliacyjna
  • Techniki: PowerShell, persystencja przez harmonogram zadań, wykluczenia w Defenderze, BYOVD
  • Payloady: CNB Bot, PureRAT, PureMiner, XMRig, SilentCryptoMiner

Kontekst / historia

Analiza kampanii wskazuje, że operacja rozwijała się etapami i z czasem stawała się bardziej złożona. Wczesne warianty koncentrowały się na dostarczaniu koparek oraz komponentów RAT za pomocą fałszywych instalatorów, jednak później zestaw narzędzi rozszerzono o nowe implanty, w tym loader .NET nazwany CNB Bot.

Stałymi elementami operacji pozostają podobne techniki pakowania, zbieżna infrastruktura C2 oraz konsekwentnie stosowany schemat podszywania się pod legalne oprogramowanie. Istotnym aspektem tej kampanii jest także model hybrydowej monetyzacji: poza cryptojackingiem operatorzy kierują ofiary na strony typu content locker pod pretekstem rejestracji oprogramowania, generując przychody w modelu CPA.

Analiza techniczna

Punktem wejścia do infekcji jest obraz ISO zawierający loader oraz plik tekstowy z instrukcjami, jak uruchomić niepodpisaną aplikację mimo ostrzeżeń systemowych. Taki mechanizm zwiększa skuteczność infekcji, ponieważ część działań wykonuje sam użytkownik, ufając spreparowanym komunikatom.

Po uruchomieniu loadera wykonywany jest ukryty PowerShell. Jednym z pierwszych kroków jest dodanie szerokich wykluczeń w Microsoft Defender dla katalogów tymczasowych, ścieżek użytkownika i wybranych procesów. Następnie malware zapisuje kolejne komponenty, uruchamia dalsze etapy infekcji i wyświetla fałszywy komunikat o błędzie, aby zmniejszyć podejrzenia ofiary.

Kluczową rolę odgrywa CNB Bot, czyli loader .NET zdolny do pobierania kolejnych ładunków, aktualizacji modułów i wykonywania procedur czyszczenia śladów. Komunikacja z serwerem C2 odbywa się przez HTTP POST, co daje operatorom możliwość elastycznego sterowania zachowaniem zainfekowanego hosta.

W innych wariantach wdrażane są PureRAT i PureMiner. Łańcuch infekcji może obejmować kilka etapów loaderów, mechanizmy persystencji oparte na zadaniach harmonogramu oraz automatyczne usuwanie instalatora po zakończeniu wdrożenia. PureRAT wykorzystuje zaszyfrowane konfiguracje i chroni komunikację z serwerami sterującymi przy użyciu HMAC oraz AES, co utrudnia analizę ruchu.

Szczególnie istotny jest niestandardowy loader dla XMRig. Pobiera on zdalną konfigurację kopania, a w razie problemów korzysta z zapasowych ustawień osadzonych w kodzie. Komponent wypakowuje także sterownik WinRing0x64.sys, po czym uruchamia pętlę unikania analizy: wykrywa narzędzia diagnostyczne i bezpieczeństwa, zatrzymuje koparkę podczas obserwacji, a następnie ponownie ją uruchamia, gdy ryzyko wykrycia maleje.

Warianty powiązane z SilentCryptoMiner dodają kolejne mechanizmy utrzymania dostępu, modyfikują ustawienia zasilania w celu wyłączenia uśpienia i hibernacji oraz wykorzystują watchdog do odtwarzania usuniętych artefaktów. To zwiększa stabilność działania malware i maksymalizuje czas pracy koparki.

Konsekwencje / ryzyko

Z punktu widzenia organizacji REF1695 stanowi zagrożenie wielowarstwowe. Najbardziej widocznym skutkiem infekcji jest nieautoryzowane wykorzystanie zasobów obliczeniowych do kopania kryptowalut, co przekłada się na wzrost użycia CPU, wyższe zużycie energii i szybsze zużycie sprzętu.

Znacznie poważniejsze jest jednak wdrożenie komponentów typu RAT. Obecność zdalnego dostępu oznacza możliwość dalszej penetracji środowiska, pobierania dodatkowego malware, utrzymania trwałej obecności oraz potencjalnej kradzieży danych. Dodatkowym zagrożeniem jest manipulowanie konfiguracją Microsoft Defender, ponieważ szerokie wykluczenia mogą osłabić ochronę systemu nawet po częściowym usunięciu infekcji.

Wykorzystanie podpisanego, lecz podatnego sterownika wpisuje się w model BYOVD, w którym legalny komponent staje się narzędziem obejścia zabezpieczeń i uzyskania niskopoziomowego dostępu do systemu. Z kolei hostowanie payloadów na publicznych platformach utrudnia filtrowanie ruchu wyłącznie na podstawie reputacji domen.

Rekomendacje

Organizacje powinny ograniczyć możliwość uruchamiania niezweryfikowanych plików z obrazów ISO oraz monitorować zdarzenia związane z montowaniem takich nośników przez użytkowników. Szczególnie ważne jest wykrywanie prób uruchamiania plików wykonywalnych z katalogów tymczasowych i profili użytkowników.

Należy wdrożyć monitoring poleceń PowerShell modyfikujących ustawienia Microsoft Defender, zwłaszcza operacji dodawania wykluczeń. Warto także regularnie audytować istniejące wykluczenia i porównywać je z polityką bazową, aby szybko wykrywać nieautoryzowane zmiany.

  • monitorowanie tworzenia zadań harmonogramu uruchamianych przy logowaniu
  • wykrywanie nietypowych zmian ustawień zasilania, w tym użycia powercfg
  • kontrola obecności sterowników takich jak WinRing0x64.sys lub Winring0.sys
  • ograniczanie uruchamiania PowerShell i LOLBins w kontekstach użytkownika
  • wdrożenie EDR z telemetrią procesów potomnych, persystencji i aktywności sterowników
  • analiza ruchu HTTP/HTTPS pod kątem nietypowych pobrań binariów z usług publicznych
  • szkolenie użytkowników w zakresie rozpoznawania fałszywych instalatorów i prób obejścia SmartScreen
  • przygotowanie procedur IR obejmujących przywracanie polityk Defendera oraz pełną kontrolę persystencji po incydencie

Podsumowanie

REF1695 to przykład dojrzałej, finansowo motywowanej operacji, która skutecznie łączy socjotechnikę, wieloetapowe loadery, techniki unikania analizy i mechanizmy zwiększania wydajności cryptojackingu. Kampania jest szczególnie niebezpieczna, ponieważ nie ogranicza się do kopania kryptowalut, ale obejmuje również zdalny dostęp i dodatkowe kanały monetyzacji.

Dla zespołów bezpieczeństwa kluczowe znaczenie ma wykrywanie modyfikacji Defendera, monitorowanie uruchomień z obrazów ISO, analiza persystencji oraz kontrola użycia podatnych sterowników. Skuteczna obrona wymaga połączenia telemetrii endpointów, restrykcyjnych polityk uruchamiania i świadomego zarządzania zaufaniem do pozornie legalnych plików i usług.

Źródła

  1. Researchers Uncover Mining Operation Using ISO Lures to Spread RATs and Crypto Miners — https://thehackernews.com/2026/04/researchers-uncover-mining-operation.html
  2. Fake Installers to Monero: A Multi-Tool Mining Operation — https://www.elastic.co/security-labs/fake-installers-to-monero

TA416 ponownie atakuje Europę. Chińska kampania cyberwywiadowcza uderza w dyplomację i administrację

Cybersecurity news

Wprowadzenie do problemu / definicja

Grupa TA416, szerzej znana jako Mustang Panda, ponownie znalazła się w centrum zainteresowania analityków bezpieczeństwa po wznowieniu kampanii cyberwywiadowczych wymierzonych w europejskie instytucje rządowe i placówki dyplomatyczne. Celem operacji jest długotrwałe pozyskiwanie informacji, a nie szybki zysk finansowy, co wpisuje tę aktywność w klasyczny model działań APT ukierunkowanych na szpiegostwo.

Według najnowszych obserwacji operatorzy koncentrują się na podmiotach związanych z administracją publiczną, dyplomacją, strukturami UE i NATO oraz organizacjami współpracującymi z sektorem rządowym. Kampania wskazuje na powrót Europy do grona priorytetowych celów po okresie silniejszej aktywności grupy w Azji.

W skrócie

  • TA416 wznowiła operacje przeciwko europejskim instytucjom od połowy 2025 roku.
  • Ataki obejmują rozpoznanie z użyciem web bugów oraz spear phishing prowadzący do infekcji malware PlugX.
  • W kampaniach wykorzystywano m.in. fałszywe strony weryfikacyjne, archiwa ZIP z plikami LNK, komponenty MSI i TAR oraz projekty C# uruchamiane przez MSBuild.
  • Jednym z kluczowych elementów była manipulacja legalnymi mechanizmami przekierowań OAuth w ekosystemie Microsoft.
  • W marcu 2026 roku aktywność objęła również cele rządowe i dyplomatyczne na Bliskim Wschodzie.

Kontekst / historia

TA416 od lat jest łączona z operacjami cyberwywiadowczymi wspierającymi interesy Chin. W poprzednich latach grupa była wielokrotnie obserwowana podczas kampanii skierowanych przeciwko administracji państwowej, organizacjom międzynarodowym i środowiskom dyplomatycznym. Szczególnie wysoka aktywność wobec celów europejskich była widoczna w 2022 roku, gdy napięcia geopolityczne zwiększyły znaczenie informacji pochodzących z regionu.

Między połową 2023 a połową 2025 roku widoczność operacji wymierzonych w Europę spadła, co analitycy wiązali z koncentracją grupy na Azji Południowo-Wschodniej i Mongolii. Obecny powrót do Europy sugeruje zmianę priorytetów wywiadowczych oraz zwiększone zapotrzebowanie na dane związane z polityką bezpieczeństwa, dyplomacją i współpracą międzynarodową.

Dodatkowe doniesienia z końca 2025 roku wskazywały na podobne działania wobec dyplomatów w kilku krajach Europy, w tym w Belgii, na Węgrzech, we Włoszech, w Holandii i Serbii. W wielu przypadkach końcowym ładunkiem pozostawał PlugX, co pokazuje ciągłość narzędziową mimo zmian w technikach dostarczania.

Analiza techniczna

Kampania TA416 opiera się na połączeniu znanych technik z ich regularnie modyfikowanymi wariantami. W początkowej fazie operatorzy używali web bugów osadzonych w wiadomościach e-mail. Po otwarciu wiadomości przez ofiarę następowało połączenie HTTP, które pozwalało ustalić m.in. aktywność odbiorcy, jego adres IP, znacznik czasu oraz informacje o kliencie pocztowym. Taki etap rozpoznawczy umożliwia selekcję wartościowych celów przed uruchomieniem właściwego ataku.

Następnie wykorzystywano spear phishing prowadzony zarówno z kont freemailowych, jak i ze skompromitowanych skrzynek należących do realnych instytucji. To istotnie zwiększało wiarygodność wiadomości. Ofiary były kierowane do archiwów hostowanych w legalnych usługach chmurowych, takich jak Google Drive czy SharePoint, a także w zasobach kontrolowanych przez atakujących. Tego rodzaju nadużycie zaufanej infrastruktury utrudnia wykrycie kampanii przez tradycyjne systemy filtrujące.

Jednym z najbardziej interesujących elementów operacji było wykorzystanie przekierowań OAuth. Atakujący tworzyli aplikacje w środowisku Entra ID i konfigurowali adresy redirect URI w taki sposób, aby po wystąpieniu błędu autoryzacji użytkownik trafiał do kontrolowanej lokalizacji zawierającej złośliwe archiwum. Technika ta nie wymaga klasycznego exploita, lecz bazuje na instrumentalnym użyciu legalnej funkcji, przez co może wyglądać pozornie poprawnie z perspektywy użytkownika i części mechanizmów ochronnych.

W innym wariancie kampanii stosowano fałszywe strony bezpieczeństwa imitujące mechanizmy antybotowe. Po interakcji użytkownika następowało pobranie archiwum ZIP zawierającego plik LNK. Taki skrót uruchamiał osadzony kod PowerShell, który wydobywał ukryte komponenty z archiwum nadrzędnego i inicjował kolejne etapy infekcji. W praktyce prowadziło to do uruchomienia zestawu wykorzystującego DLL sideloading.

W nowszych kampaniach z początku 2026 roku dostarczanie ładunku zostało dodatkowo zmienione. W archiwach znajdował się legalny plik MSBuild przemianowany w sposób zwiększający jego wiarygodność oraz złośliwy projekt C#. Po uruchomieniu MSBuild projekt był kompilowany lokalnie, pobierał dalsze elementy infekcji, zapisywał je w katalogu tymczasowym, a następnie uruchamiał legalny komponent obciążony złośliwą biblioteką DLL. Finalnym efektem pozostawała instalacja niestandardowego wariantu PlugX.

PlugX to dojrzały backdoor od lat wykorzystywany w kampaniach przypisywanych chińskojęzycznym grupom APT. Umożliwia zdalne wykonywanie poleceń, transfer plików, utrzymanie trwałości w systemie oraz szeroko rozumianą eksfiltrację danych. Mimo ewolucji technik wejścia do środowiska ofiary końcowy cel pozostaje niezmienny: uzyskanie stabilnego dostępu i prowadzenie długotrwałego cyberwywiadu.

Konsekwencje / ryzyko

Skala ryzyka związanego z tą kampanią jest wysoka, zwłaszcza dla ministerstw, resortów obrony, spraw zagranicznych, misji dyplomatycznych oraz organizacji współpracujących z administracją. Charakter ataków wskazuje na staranną selekcję celów i wyraźny priorytet wywiadowczy.

Najpoważniejszą konsekwencją może być ciche przejęcie skrzynek pocztowych i stacji roboczych użytkowników mających dostęp do korespondencji wrażliwej, dokumentów strategicznych oraz informacji o negocjacjach i polityce bezpieczeństwa. Dodatkowe zagrożenie wynika z używania legalnej infrastruktury chmurowej i przejętych kont e-mail, co utrudnia zarówno użytkownikom, jak i systemom bezpieczeństwa odróżnienie autentycznej komunikacji od złośliwej.

Z perspektywy obrony szczególnie niebezpieczne są trzy elementy: nadużywanie zaufanych usług chmurowych, stosowanie DLL sideloadingu oraz wykorzystywanie legalnych przepływów OAuth. To oznacza, że organizacje polegające wyłącznie na reputacji domen, prostych IOC i tradycyjnych filtrach pocztowych mogą nie wykryć operacji na wczesnym etapie.

Rekomendacje

Organizacje zagrożone podobnymi operacjami powinny wzmacniać ochronę w modelu wielowarstwowym. Priorytetem pozostaje bezpieczeństwo poczty elektronicznej, w tym wykrywanie spear phishingu pochodzącego z przejętych skrzynek oraz wiadomości zawierających odwołania do chmurowych repozytoriów i nietypowych przekierowań.

W środowiskach Microsoft 365 i Entra ID warto monitorować rejestrowane aplikacje, adresy redirect URI oraz nietypowe błędy autoryzacji. Dobrą praktyką jest ograniczenie możliwości rejestracji aplikacji przez użytkowników, wymuszanie zgody administratora dla aplikacji wysokiego ryzyka oraz systematyczna analiza logów pod kątem anomalii związanych z OAuth.

Na stacjach roboczych zalecane jest ograniczanie uruchamiania plików LNK, skryptów PowerShell i narzędzi typu LOLBin, takich jak MSBuild, poza ściśle kontrolowanymi scenariuszami. Wysoką wartość ma również monitorowanie procesów potomnych startujących z katalogów tymczasowych oraz wykrywanie prób DLL sideloadingu.

Zespoły SOC powinny rozwijać reguły detekcyjne obejmujące nietypowe wykorzystanie usług takich jak SharePoint, Azure Blob Storage i Google Drive w łańcuchach dostarczania malware. Istotne pozostaje także sandboxowanie załączników i linków, nawet jeśli początkowo prowadzą do powszechnie zaufanych domen.

Nie można pomijać czynnika ludzkiego. Użytkownicy pracujący w obszarach dyplomacji, administracji i bezpieczeństwa muszą być szkoleni z rozpoznawania wiadomości pochodzących z realnych, lecz przejętych kont, a także z rozumienia, że legalnie wyglądające przekierowanie lub strona weryfikacyjna nie zawsze oznacza bezpieczny proces.

Podsumowanie

Powrót TA416 do intensywnego targetowania Europy potwierdza, że kampanie cyberwywiadowcze są silnie powiązane z bieżącym kontekstem geopolitycznym. Grupa skutecznie łączy klasyczny spear phishing z nowoczesnymi technikami omijania zabezpieczeń, wykorzystując legalne funkcje usług chmurowych, narzędzia systemowe i mechanizmy tożsamościowe.

Dla europejskich instytucji publicznych i partnerów sektora rządowego to wyraźny sygnał ostrzegawczy. Obrona przed takimi operacjami wymaga nie tylko aktualnych wskaźników kompromitacji, ale przede wszystkim dojrzałego monitoringu tożsamości, analityki behawioralnej, kontroli aplikacji oraz szybkiego reagowania na odstępstwa od normalnego profilu działania użytkownika i systemu.

Źródła

  • https://www.infosecurity-magazine.com/news/china-hackers-ta416-europe/
  • https://www.proofpoint.com/us/blog/threat-insight/id-come-running-back-eu-again-ta416-resumes-european-government-espionage
  • https://www.microsoft.com/en-us/security/blog/2026/03/02/oauth-redirection-abuse-enables-phishing-malware-delivery/
  • https://www.scworld.com/brief/european-diplomats-subjected-to-china-linked-cyberespionage-campaign
  • https://cert.europa.eu/publications/threat-intelligence/cb23-04/

DeepLoad i ClickFix: nowy łańcuch infekcji wymierzony w poświadczenia i przeglądarki

Cybersecurity news

Wprowadzenie do problemu / definicja

DeepLoad to nowo zaobserwowana rodzina złośliwego oprogramowania wykorzystywana w kampaniach opartych na technice ClickFix. Mechanizm ten polega na prezentowaniu ofierze fałszywych komunikatów o błędach przeglądarki lub systemu, które mają skłonić użytkownika do ręcznego uruchomienia wskazanego polecenia. W efekcie dochodzi do aktywacji loadera PowerShell, instalacji malware na systemie Windows oraz uzyskania dostępu do poświadczeń i aktywności przeglądarkowej użytkownika.

W skrócie

  • DeepLoad jest wykorzystywany w kampaniach opartych na socjotechnice ClickFix.
  • Atak prowadzi do kradzieży poświadczeń i instalacji złośliwego rozszerzenia przeglądarki.
  • Malware wykorzystuje dynamicznie generowane biblioteki DLL, wykonanie w pamięci i iniekcję kodu do legalnych procesów.
  • Zaobserwowano także elementy mogące wspierać propagację przez nośniki USB.
  • Połączenie socjotechniki i technik unikania detekcji utrudnia reakcję zespołów bezpieczeństwa.

Kontekst / historia

Rodzina DeepLoad była wcześniej kojarzona z cyberprzestępczym podziemiem jako zestaw narzędzi promowany pod kątem wielu złośliwych funkcji, w tym przechwytywania poświadczeń oraz podmiany aplikacji i rozszerzeń związanych z portfelami kryptowalutowymi. Najnowsze obserwacje wskazują jednak, że rozwiązanie to wyszło poza etap reklamowania i zaczęło być wykorzystywane w realnych kampaniach wymierzonych w użytkowników systemów Windows.

Kluczową rolę w tym scenariuszu odgrywa ClickFix, czyli technika, która zyskała popularność dzięki swojej prostocie i skuteczności. Atakujący nie muszą od razu dostarczać klasycznego pliku wykonywalnego. Zamiast tego nakłaniają użytkownika do samodzielnego uruchomienia polecenia, co pozwala ominąć część tradycyjnych zabezpieczeń i zwiększa wiarygodność całego łańcucha infekcji.

Analiza techniczna

Łańcuch ataku rozpoczyna się od wyświetlenia fałszywego komunikatu błędu w przeglądarce. Ofiara otrzymuje instrukcję, aby wkleić określone polecenie do okna Uruchamianie systemu Windows lub do terminala. Taka akcja uruchamia loader PowerShell, który odpowiada za trwałość infekcji oraz pobranie lub wygenerowanie kolejnych komponentów złośliwego oprogramowania.

Jednym z bardziej charakterystycznych elementów DeepLoad jest sposób dostarczania drugiego etapu. Biblioteka DLL ma być generowana dynamicznie przy każdym uruchomieniu i zapisywana w katalogu tymczasowym pod zmienną nazwą. To utrudnia wykrywanie oparte na sygnaturach i ogranicza możliwość łatwego powiązania incydentów na podstawie tych samych artefaktów plikowych.

Loader ogranicza również widoczność swojej aktywności, między innymi przez redukowanie śladów w historii poleceń PowerShell oraz korzystanie bezpośrednio z funkcji systemowych. Z perspektywy obrony oznacza to mniejszą skuteczność narzędzi polegających wyłącznie na standardowej telemetrii skryptowej lub prostym monitoringu uruchomień.

Kolejnym etapem jest wstrzyknięcie kodu do legalnego procesu LockAppHost.exe z użyciem techniki APC injection. Dzięki temu złośliwy ładunek może działać wewnątrz zaufanego procesu systemowego, ograniczając liczbę jednoznacznych wskaźników kompromitacji na dysku. W połączeniu z wykonaniem w pamięci znacząco utrudnia to analizę i wykrywanie przez klasyczne rozwiązania antywirusowe.

DeepLoad koncentruje się przede wszystkim na kradzieży poświadczeń. Funkcja credential stealera działa równolegle do głównego loadera, a kanał eksfiltracji danych uwierzytelniających ma być oddzielony od podstawowej komunikacji command-and-control. Taki podział zwiększa odporność operacji atakujących i utrudnia analizę ruchu sieciowego.

Dodatkowym zagrożeniem jest instalacja złośliwego rozszerzenia przeglądarki. Taki komponent może przechwytywać aktywne sesje, otwarte karty, tokeny sesyjne, zapisane hasła oraz inne dane związane z bieżącą aktywnością użytkownika. W praktyce umożliwia to przejmowanie kont, zwłaszcza gdy ofiara jest już zalogowana do usług chmurowych, paneli administracyjnych lub portfeli kryptowalutowych.

Zaobserwowano również możliwość propagacji z wykorzystaniem nośników USB. Nawet jeśli nie jest to natywny element samego DeepLoad, obecność takiego etapu w kampanii zwiększa ryzyko dalszego rozprzestrzeniania się zagrożenia w środowiskach o słabszej segmentacji i ograniczonej kontroli urządzeń przenośnych.

Konsekwencje / ryzyko

Najbardziej bezpośrednim skutkiem infekcji jest utrata poświadczeń oraz przejęcie aktywnych sesji użytkownika. W środowisku firmowym może to oznaczać kompromitację kont pocztowych, dostępu VPN, konsol administracyjnych, aplikacji SaaS oraz innych zasobów o podwyższonym znaczeniu biznesowym.

Szczególnie narażone są organizacje, w których przeglądarka stanowi główny interfejs dostępu do aplikacji i danych. Złośliwe rozszerzenie może bowiem przechwytywać tokeny sesyjne i działać na poziomie aktywności zalogowanego użytkownika, co utrudnia wykrycie nadużycia i może ograniczać skuteczność części mechanizmów MFA.

Ryzyko operacyjne zwiększa także połączenie socjotechniki, wykonania w pamięci, dynamicznie generowanych komponentów oraz iniekcji kodu do zaufanych procesów. Taki zestaw technik obniża skuteczność tradycyjnych zabezpieczeń i wymaga od organizacji bardziej zaawansowanej telemetrii endpointów, monitoringu PowerShell oraz korelacji zdarzeń na poziomie hosta i sieci.

Rekomendacje

Organizacje powinny traktować ClickFix jako odrębną klasę zagrożeń socjotechnicznych i uwzględnić ten scenariusz w szkoleniach użytkowników. Najważniejszy komunikat powinien być jednoznaczny: prawidłowy komunikat błędu przeglądarki lub systemu nie wymaga ręcznego wklejania poleceń do okna Uruchamianie ani terminala.

  • Wdrożyć ścisłe monitorowanie i ograniczanie użycia PowerShell, w tym rejestrowanie poleceń i alertowanie na nietypowe uruchomienia.
  • Uruchomić detekcję iniekcji kodu do procesów systemowych, szczególnie anomalii związanych z LockAppHost.exe.
  • Wprowadzić kontrolę i audyt rozszerzeń przeglądarek z wykorzystaniem list dozwolonych dodatków.
  • Ograniczyć przechowywanie haseł w przeglądarkach i stosować MFA odporne na przejęcie sesji tam, gdzie to możliwe.
  • Monitorować katalogi tymczasowe pod kątem dynamicznie tworzonych bibliotek DLL i nietypowych wzorców uruchomień.
  • Blokować lub ściśle kontrolować użycie urządzeń USB, zwłaszcza na stacjach roboczych o podwyższonym profilu ryzyka.

W przypadku podejrzenia kompromitacji konieczne jest zresetowanie haseł, unieważnienie aktywnych sesji, przegląd zainstalowanych rozszerzeń przeglądarki oraz analiza artefaktów PowerShell. Należy również sprawdzić, czy przejęte tokeny nie zostały wykorzystane wtórnie w usługach chmurowych i systemach zarządzania tożsamością.

Podsumowanie

DeepLoad pokazuje, że skuteczność współczesnych kampanii malware wynika nie tylko z zaawansowania technicznego kodu, ale również z umiejętnego połączenia socjotechniki z metodami utrudniającymi wykrycie. ClickFix zapewnia prosty i skuteczny wektor wejścia, a kolejne etapy infekcji obejmują dynamiczne generowanie komponentów, wykonanie w pamięci, iniekcję do legalnych procesów i przejęcie aktywności przeglądarkowej.

Dla organizacji oznacza to konieczność równoczesnego wzmacniania świadomości użytkowników, monitoringu endpointów oraz ochrony tożsamości. Nawet pojedyncza infekcja stacji roboczej może bowiem szybko przełożyć się na znacznie szerszy incydent bezpieczeństwa.

Źródła

  1. SecurityWeek – New DeepLoad Malware Dropped in ClickFix Attacks
    https://www.securityweek.com/new-deepload-malware-dropped-in-clickfix-attacks/
  2. ReliaQuest – analiza kampanii ClickFix i DeepLoad
    https://reliaquest.com/
  3. ZeroFox – informacje o reklamowaniu DeepLoad w cyberprzestępczym podziemiu
    https://www.zerofox.com/

Google łączy atak supply chain na Axios w npm z północnokoreańskim klastrem UNC1069

Cybersecurity news

Wprowadzenie do problemu / definicja

Ataki supply chain na ekosystemy open source pozostają jednym z najpoważniejszych zagrożeń dla współczesnych procesów wytwarzania oprogramowania. Najnowszy incydent związany z pakietem Axios w rejestrze npm pokazuje, że kompromitacja pojedynczego konta maintenera może otworzyć drogę do masowej dystrybucji złośliwego kodu w środowiskach deweloperskich, CI/CD i produkcyjnych.

Według ustaleń Google Threat Intelligence Group operacja została powiązana z północnokoreańskim klastrem UNC1069. To istotna atrybucja, ponieważ wskazuje nie tylko na techniczną dojrzałość sprawców, ale również na możliwe motywacje finansowe i wcześniejsze doświadczenie w atakach na łańcuch dostaw.

W skrócie

  • Złośliwe wersje pakietu Axios zostały opublikowane po przejęciu konta maintenera w npm.
  • Atakujący dodali zależność „plain-crypto-js”, która uruchamiała złośliwy kod przez mechanizm postinstall.
  • Łańcuch infekcji prowadził do pobrania wieloplatformowego backdoora dla Windows, macOS i Linux.
  • Google przypisało kampanię klastrowi UNC1069, wiązanemu z operacjami wymierzonymi m.in. w sektor kryptowalut.

Kontekst / historia

Axios należy do najczęściej używanych bibliotek JavaScript do realizacji żądań HTTP, dlatego jego kompromitacja ma wyjątkowo szeroki potencjalny zasięg. W analizowanym przypadku opublikowano dwie trojanizowane wersje pakietu: 1.14.1 oraz 0.30.4. Uderzenie objęło więcej niż jedną linię wydawniczą, co sugeruje świadomie zaplanowaną operację nastawioną na maksymalizację liczby ofiar.

Google wskazuje, że UNC1069 działa co najmniej od 2018 roku i ma doświadczenie w kompromitacjach łańcucha dostaw. Dodatkowe korelacje techniczne z wcześniejszymi kampaniami dostrzegli także badacze Elastic Security Labs, którzy zwrócili uwagę na podobieństwa funkcjonalne pomiędzy nowymi próbkami a wcześniej obserwowanym zestawem narzędzi tej grupy.

Analiza techniczna

Operatorzy nie wprowadzili jawnych zmian do głównego kodu Axios. Zamiast tego dodali złośliwą zależność „plain-crypto-js”, która pełniła rolę dyskretnego nośnika malware. Kluczowym elementem był wpis postinstall w pliku package.json, dzięki któremu złośliwy kod uruchamiał się automatycznie już podczas instalacji pakietu przez npm.

„plain-crypto-js” zawierał zaciemniony dropper JavaScript określany jako SILKBELL. Jego zadaniem było pobranie kolejnego etapu infekcji zależnie od wykrytego systemu operacyjnego. Na Windows wykorzystywany był ładunek oparty o PowerShell, na macOS binarium Mach-O napisane w C++, a na Linuksie backdoor w Pythonie. Taka architektura wskazuje na dobrze przygotowaną kampanię z zapleczem umożliwiającym atakowanie różnych środowisk developerskich.

Złośliwy komponent stosował także mechanizmy utrudniające analizę po incydencie. Po wykonaniu dropper usuwał własne ślady i podmieniał plik package.json w pakiecie „plain-crypto-js” na pozornie nieszkodliwą wersję bez wpisu postinstall. To znacząco obniża szansę wykrycia podczas pobieżnej kontroli artefaktów po instalacji.

Końcowy implant został sklasyfikowany jako WAVESHAPER.V2 i oceniony jako rozwinięcie wcześniejszego backdoora WAVESHAPER. Malware komunikuje się z serwerem C2 z użyciem formatu JSON, cyklicznie beaconuje i obsługuje polecenia pozwalające m.in. na wykonywanie komend systemowych, przeglądanie katalogów, kończenie działania oraz uruchamianie dodatkowych binariów. Zachowano przy tym charakterystyczne cechy wcześniejszej wersji, w tym podobny model komunikacji i wykorzystanie tych samych lokalizacji tymczasowych dla dalszych payloadów.

W analizie próbek dla macOS zauważono również ślady deweloperskie powiązywane z wcześniejszymi narzędziami przypisywanymi północnokoreańskim operatorom. Same takie artefakty nie są jeszcze pełnym dowodem atrybucyjnym, jednak w połączeniu z telemetrią, podobieństwami kodu i profilem operacyjnym wzmacniają ocenę wskazującą na UNC1069.

Konsekwencje / ryzyko

Skala ryzyka jest znacząca, ponieważ Axios jest szeroko obecny w aplikacjach webowych, narzędziach developerskich oraz pipeline’ach budowania oprogramowania. Najbardziej narażone są organizacje, które automatycznie pobierają najnowsze wersje zależności lub nie stosują ścisłego pinowania wersji w plikach lockfile.

W praktyce kompromitacja jednego popularnego pakietu może doprowadzić do infekcji stacji roboczych deweloperów, runnerów CI, serwerów buildowych, a pośrednio również środowisk produkcyjnych. Jeżeli zainfekowane systemy miały dostęp do tokenów, kluczy SSH, poświadczeń chmurowych, danych podpisujących lub sekretów aplikacyjnych, należy traktować je jako potencjalnie ujawnione.

Atak ma również znaczenie strategiczne. Pokazuje, że dojrzały przeciwnik nie musi atakować ofiary bezpośrednio, jeśli może przejąć zaufany element ekosystemu zależności. Taki model działania skaluje się lepiej niż klasyczne kampanie phishingowe i utrudnia obronę opartą wyłącznie na ochronie punktów końcowych czy perymetru sieciowego.

Rekomendacje

W pierwszej kolejności organizacje powinny przeprowadzić audyt zależności pod kątem obecności wskazanych złośliwych wersji Axios oraz pakietu „plain-crypto-js”. W środowiskach npm należy zweryfikować zarówno zależności bezpośrednie, jak i tranzytywne, a następnie wymusić instalację bezpiecznych wersji przez aktualizację lockfile i pinowanie wersji.

Konieczne jest także sprawdzenie hostów deweloperskich i systemów CI/CD pod kątem oznak wykonania złośliwego kodu. Szczególnie warto analizować procesy potomne uruchamiane podczas instalacji pakietów, aktywność w katalogach tymczasowych, nietypowe połączenia wychodzące oraz ślady użycia PowerShell, skryptów powłoki i komponentów uruchamianych bezpośrednio po pobraniu zależności.

Jeśli potwierdzono ekspozycję, zalecana jest izolacja systemów, usunięcie złośliwych komponentów oraz pełna rotacja poświadczeń. Dotyczy to zwłaszcza tokenów npm, kluczy API, dostępu do repozytoriów kodu, kont chmurowych i infrastruktury podpisywania artefaktów.

  • Wymuszenie MFA dla maintainerów i kont uprzywilejowanych.
  • Pinowanie wersji zależności oraz ograniczenie automatycznych aktualizacji.
  • Skanowanie SBOM i zależności tranzytywnych.
  • Kontrola wykonywania skryptów postinstall i innych lifecycle scripts.
  • Segmentacja środowisk developerskich oraz buildowych.
  • Monitorowanie anomalii w pipeline’ach i ruchu wychodzącym.
  • Przygotowanie procedur szybkiego unieważniania sekretów po incydencie.

Długofalowo wiele organizacji powinno rozważyć politykę ograniczającą uruchamianie skryptów instalacyjnych z pakietów zewnętrznych wszędzie tam, gdzie nie jest to biznesowo konieczne. W ekosystemie npm mechanizmy lifecycle scripts pozostają jednym z najczęściej nadużywanych wektorów dostarczenia złośliwego kodu.

Podsumowanie

Kompromitacja Axios w npm to kolejny dowód na to, że ataki supply chain stały się jednym z najskuteczniejszych sposobów infiltracji środowisk programistycznych. Szczególnie niebezpieczne okazało się połączenie przejęcia konta maintenera, użycia pomocniczej zależności, automatycznego wykonania przez postinstall oraz wdrożenia wieloplatformowego backdoora.

Powiązanie kampanii z UNC1069 wzmacnia ocenę, że za incydentem stoi przeciwnik o wysokiej dojrzałości operacyjnej i doświadczeniu w działaniach finansowo motywowanych. Dla zespołów bezpieczeństwa najważniejszy wniosek jest jasny: skuteczna obrona wymaga nie tylko skanowania podatności, ale także ciągłej kontroli integralności zależności, widoczności procesów buildowych i gotowości do szybkiej rotacji poświadczeń po wykryciu kompromitacji.

Źródła

Casbaneiro atakuje Amerykę Łacińską i Europę, wykorzystując phishing z dynamicznie generowanymi plikami PDF

Cybersecurity news

Wprowadzenie do problemu / definicja

Kampanie phishingowe oparte na wieloetapowych łańcuchach infekcji pozostają jedną z najskuteczniejszych metod dystrybucji trojanów bankowych. Najnowsza aktywność związana z rodziną Casbaneiro pokazuje, że cyberprzestępcy konsekwentnie rozwijają swoje techniki, łącząc socjotechnikę z mechanizmami utrudniającymi analizę i wykrywanie zagrożeń.

W opisywanej kampanii atakujący wykorzystują spreparowane wiadomości e-mail, archiwa ZIP, skrypty VBS i HTA oraz dynamicznie generowane, zabezpieczone hasłem dokumenty PDF. Taki model działania zwiększa wiarygodność przynęty, utrudnia detekcję opartą na sygnaturach i poprawia skuteczność infekcji zarówno w środowiskach firmowych, jak i u użytkowników indywidualnych.

W skrócie

Kampania jest wymierzona głównie w hiszpańskojęzyczne organizacje i użytkowników w Ameryce Łacińskiej oraz Europie. Atak rozpoczyna się od wiadomości phishingowej podszywającej się pod wezwanie sądowe, do której dołączony jest chroniony hasłem plik PDF.

Dokument zawiera odnośnik prowadzący do pobrania archiwum ZIP, z którego uruchamiane są kolejne komponenty infekcji. Ostatecznie na urządzeniu ofiary instalowany jest trojan bankowy Casbaneiro, a dodatkowo wykorzystywany jest Horabot, odpowiedzialny za przejmowanie kont pocztowych i dalsze rozprzestrzenianie złośliwych wiadomości.

  • Phishing podszywa się pod korespondencję prawną lub sądową.
  • Łańcuch infekcji obejmuje PDF, ZIP, HTA, VBS i komponenty AutoIt.
  • Casbaneiro pełni rolę głównego trojana bankowego.
  • Horabot wspiera propagację i nadużycia na skrzynkach e-mail.
  • Dynamicznie generowane PDF-y utrudniają blokowanie kampanii.

Kontekst / historia

Casbaneiro, znany także jako Metamorfo, od lat jest kojarzony z działalnością cyberprzestępczą wymierzoną przede wszystkim w użytkowników z Ameryki Łacińskiej. Malware został zaprojektowany z myślą o kradzieży danych finansowych, przechwytywaniu poświadczeń i wykonywaniu dodatkowych operacji na zainfekowanych systemach Windows.

Aktualna kampania jest łączona z grupą cyberprzestępczą powiązaną z Brazylią, śledzoną pod nazwami Augmented Marauder oraz Water Saci. Grupa była wcześniej wiązana z wykorzystywaniem platform komunikacyjnych i legalnych usług do dystrybucji złośliwego oprogramowania oraz z działaniami przypominającymi mechanizmy robaków rozsyłających się przez przejęte konta.

Najnowsza odsłona operacji wskazuje na wyraźny wzrost dojrzałości technicznej. Atakujący nie ograniczają się już do pojedynczego ładunku malware, ale budują spójny ekosystem obejmujący phishing, przejęcia skrzynek pocztowych, automatyczną propagację i dynamiczne generowanie przynęt dostosowanych do odbiorcy lub regionu.

Analiza techniczna

Atak rozpoczyna się od wiadomości e-mail stylizowanej na pilną korespondencję prawną. Tego typu przynęty wykorzystują autorytet instytucji i presję czasu, co zwiększa prawdopodobieństwo otwarcia załącznika przez ofiarę. Sam plik PDF jest zabezpieczony hasłem, co może ograniczać skuteczność części systemów automatycznej inspekcji treści.

Po otwarciu dokumentu użytkownik trafia do złośliwego odnośnika, który inicjuje pobranie archiwum ZIP. W kolejnych etapach uruchamiane są komponenty HTA oraz skrypty VBS odpowiedzialne za wykonanie wstępnych działań na systemie, w tym kontroli środowiska oraz prób obejścia analizy bezpieczeństwa.

Następnie wykorzystywane są loadery bazujące na AutoIt, które rozpakowują i uruchamiają zaszyfrowane pliki zapisane pod nietypowymi rozszerzeniami. Finalnie aktywowane są dwa główne komponenty złośliwego łańcucha:

  • Casbaneiro jako trojan bankowy odpowiedzialny za komunikację z infrastrukturą C2 i dalsze pobieranie poleceń lub modułów.
  • Horabot jako narzędzie wspierające przejmowanie skrzynek e-mail i rozsyłanie kolejnych wiadomości phishingowych.

W praktyce Horabot wykorzystuje dane i kontakty z Microsoft Outlook, aby wysyłać nowe wiadomości z poziomu przejętego konta ofiary. To znacząco zwiększa skuteczność kampanii, ponieważ kolejne wiadomości pochodzą z legalnego i zaufanego adresu e-mail.

Najbardziej charakterystycznym elementem tej kampanii jest jednak dynamiczne generowanie plików PDF po stronie serwera. Zamiast używać jednego statycznego dokumentu, zainfekowany host komunikuje się ze zdalnym API, przekazując losowo wygenerowany kod PIN. Na tej podstawie serwer tworzy unikalny, chroniony hasłem dokument udający hiszpańskojęzyczne wezwanie sądowe.

Taki mechanizm daje operatorom kilka istotnych korzyści:

  • umożliwia tworzenie dużej liczby unikalnych przynęt,
  • ogranicza skuteczność detekcji opartych na hashach i sygnaturach,
  • ułatwia personalizację kampanii pod konkretny region lub odbiorcę,
  • utrudnia analizę retroaktywną i blokowanie reputacyjne.

Konsekwencje / ryzyko

Ryzyko związane z tą kampanią jest wysokie zarówno dla organizacji, jak i użytkowników końcowych. Casbaneiro koncentruje się na przejmowaniu danych uwierzytelniających i aktywności finansowej, natomiast Horabot rozszerza skalę zagrożenia, umożliwiając dalszą dystrybucję phishingu z legalnych kont pocztowych.

Dla firm oznacza to nie tylko możliwość utraty danych dostępowych, ale także naruszenie zaufania do komunikacji e-mail i wzrost ryzyka oszustw finansowych. W skrajnych przypadkach przejęte skrzynki mogą zostać użyte do dalszych kampanii przeciw partnerom, klientom i pracownikom, co zwiększa zasięg incydentu.

  • kradzież danych logowania do poczty i usług finansowych,
  • przejęcie skrzynek e-mail i wykorzystanie ich do dalszych ataków,
  • rozprzestrzenianie phishingu w relacjach biznesowych,
  • ryzyko strat finansowych i incydentów typu BEC,
  • spadek skuteczności pojedynczych mechanizmów ochronnych.

Od strony technicznej niebezpieczne jest połączenie kilku metod unikania detekcji: dokumentów chronionych hasłem, wieloetapowych loaderów, skryptów systemowych oraz dynamicznie generowanej zawartości. Taki model wymusza korelację zdarzeń na wielu poziomach infrastruktury bezpieczeństwa.

Rekomendacje

Obrona przed taką kampanią wymaga podejścia wielowarstwowego, obejmującego zarówno ochronę poczty, jak i kontrolę wykonywania skryptów oraz monitorowanie zachowania stacji roboczych. Szczególną uwagę należy poświęcić załącznikom archiwalnym, dokumentom chronionym hasłem oraz nietypowym łańcuchom uruchomień procesów.

  • blokować lub ściśle ograniczać uruchamianie plików HTA, VBS oraz nieautoryzowanych skryptów PowerShell,
  • monitorować procesy potomne uruchamiane przez klienty pocztowe i eksplorator plików,
  • wykrywać łańcuchy infekcji typu PDF → link → ZIP → HTA/VBS → AutoIt → DLL,
  • wdrożyć MFA dla skrzynek pocztowych i monitorować anomalie logowań,
  • analizować pocztę wychodzącą pod kątem masowej wysyłki i nietypowych załączników,
  • stosować EDR lub XDR z regułami obejmującymi HTA, AutoIt i skrypty systemowe,
  • ograniczać możliwość pobierania treści z internetu przez interpretery skryptowe,
  • segmentować systemy finansowe i uprzywilejowane stacje robocze.

Ważnym elementem pozostaje także edukacja użytkowników. Personel powinien być szkolony w zakresie rozpoznawania wiadomości wykorzystujących motywy prawne, urzędowe wezwania i presję czasu. Dodatkowym sygnałem ostrzegawczym powinny być dokumenty chronione hasłem oraz wiadomości wymagające pobrania kolejnych plików.

Zespoły SOC i IR powinny przygotować procedury obejmujące szybki reset haseł do poczty, analizę historii wysyłki, przegląd reguł skrzynek, identyfikację kontaktów, do których rozesłano phishing, a także blokowanie powiązanej infrastruktury C2 i domen wykorzystywanych do generowania przynęt.

Podsumowanie

Najnowsza kampania z użyciem Casbaneiro pokazuje, że współczesny phishing coraz częściej łączy zaawansowaną socjotechnikę z automatyzacją i modułowym malware. Szczególnie groźne jest tu zestawienie dynamicznie generowanych, chronionych hasłem plików PDF z mechanizmami przejmowania kont pocztowych i dalszego rozsyłania wiadomości.

Dla organizacji oznacza to konieczność ochrony nie tylko przed samym załącznikiem, ale przed całym łańcuchem ataku — od wiadomości e-mail i kliknięcia w link, po wykonanie skryptów, komunikację z serwerami C2 i nadużycia na legalnych kontach użytkowników. Skuteczna obrona wymaga zatem widoczności, analizy behawioralnej i szybkiej reakcji operacyjnej.

Źródła

Silver Fox rozszerza kampanię w Azji i wdraża AtlasCross RAT przez fałszywe domeny

Cybersecurity news

Wprowadzenie do problemu / definicja

Grupa Silver Fox prowadzi kolejną odsłonę kampanii malware wymierzonej przede wszystkim w użytkowników chińskojęzycznych oraz organizacje działające w Azji. W centrum operacji znajduje się nowy zdalny trojan dostępu, AtlasCross RAT, dostarczany za pośrednictwem fałszywych domen podszywających się pod znane marki oprogramowania i popularne usługi internetowe.

To podejście łączy typo-squatting, trojanizowane instalatory oraz techniki uruchamiania ładunku bezpośrednio w pamięci. W praktyce oznacza to wyższy poziom wiarygodności przynęty, mniejszą widoczność ataku i większą skuteczność w obchodzeniu tradycyjnych zabezpieczeń.

W skrócie

Nowa aktywność Silver Fox opiera się na podrobionych witrynach imitujących komunikatory, usługi VPN, platformy konferencyjne i aplikacje e-commerce. Ofiara pobiera archiwum ZIP z pozornie legalnym instalatorem, który uruchamia wieloetapowy łańcuch infekcji i ostatecznie ładuje AtlasCross RAT.

  • ataki wykorzystują domeny podobne do oficjalnych serwisów,
  • instalatory zawierają legalnie wyglądające komponenty i aplikacje-wabiki,
  • końcowy payload działa w pamięci, ograniczając ślady na dysku,
  • malware rozszerza wcześniejsze rodziny powiązane z Silver Fox, w tym ValleyRAT,
  • celem kampanii jest trwały dostęp, kradzież danych i wsparcie działań oszustw finansowych oraz operacji szpiegowskich.

Kontekst / historia

Silver Fox to aktor zagrożeń funkcjonujący również pod nazwami SwimSnake, Void Arachne czy Valley Thief. W poprzednich kampaniach grupa była łączona z dystrybucją wariantów Gh0st RAT, w tym ValleyRAT, a także z szerokim zakresem technik dostarczania złośliwego oprogramowania.

Obecna kampania pokazuje ewolucję zarówno infrastruktury, jak i samego arsenału. Zamiast polegać wyłącznie na znanych loaderach i starszych wariantach RAT, operatorzy wdrożyli nowy implant, który rozwija dotychczasowe możliwości i utrudnia analizę incydentu. Istotnym elementem jest również rejestracja wielu domen silnie przypominających legalne serwisy, co sugeruje przygotowaną i skoordynowaną operację.

Analiza techniczna

Łańcuch infekcji rozpoczyna się od wizyty na fałszywej stronie imitującej popularną aplikację lub usługę. Użytkownik pobiera archiwum ZIP, które zawiera trojanizowany instalator wyglądający na autentyczny pakiet. W rzeczywistości plik łączy komponent wykorzystywany do infekcji z legalnie wyglądającą aplikacją-wabikiem, aby nie wzbudzać podejrzeń.

Po uruchomieniu instalatora aktywowany jest loader shellcode, który odszyfrowuje osadzoną konfigurację wywodzącą się z linii Gh0st RAT. Następnie malware pozyskuje informacje o infrastrukturze dowodzenia i kontroli oraz pobiera kolejny etap ataku. Finalny ładunek, AtlasCross RAT, wykonywany jest bezpośrednio w pamięci operacyjnej.

Jednym z ważniejszych elementów technicznych jest integracja z frameworkiem PowerChell. Dzięki temu malware może wykonywać PowerShell natywnie w swoim procesie przez osadzenie środowiska .NET CLR. Równolegle implant dezaktywuje lub omija mechanizmy ochronne i telemetryczne systemu Windows, takie jak AMSI, ETW, Constrained Language Mode oraz ScriptBlock Logging.

Komunikacja z serwerem C2 została zabezpieczona z użyciem szyfrowania ChaCha20 i losowych kluczy generowanych dla poszczególnych pakietów. Rozwiązanie to utrudnia analizę ruchu sieciowego oraz budowanie prostych reguł detekcyjnych. Złośliwe oprogramowanie wspiera także iniekcję DLL do wybranych procesów, przejmowanie sesji RDP, operacje na plikach i powłoce systemowej oraz utrwalanie obecności poprzez zadania harmonogramu.

Na uwagę zasługuje także sposób obchodzenia lokalnych rozwiązań bezpieczeństwa. Zamiast klasycznego podejścia typu BYOVD, operatorzy wykorzystują aktywne zrywanie połączeń TCP powiązanych z wybranymi produktami ochronnymi używanymi na rynku chińskim. Dodatkowo do podpisywania złośliwych instalatorów użyto tego samego skradzionego certyfikatu Extended Validation, co zwiększa wiarygodność plików.

Konsekwencje / ryzyko

Ryzyko związane z kampanią należy ocenić jako wysokie. AtlasCross RAT zapewnia napastnikom pełną zdalną kontrolę nad zainfekowanym systemem, co może prowadzić do kradzieży danych uwierzytelniających, dokumentów firmowych, informacji finansowych oraz danych komunikacyjnych.

W środowisku korporacyjnym implant może służyć do ruchu bocznego, eskalacji uprawnień i utrzymania trwałego dostępu do infrastruktury. Szczególnie groźny jest model dostarczania malware przez strony podszywające się pod legalne aplikacje, ponieważ nie opiera się wyłącznie na klasycznym phishingu e-mailowym. Użytkownik często sam inicjuje pobranie, uznając je za uzasadnione.

Z perspektywy biznesowej skutki mogą obejmować wyciek danych, przejęcie kont służbowych, nadużycia finansowe, naruszenie integralności stacji roboczych oraz wzrost kosztów reakcji na incydent. W firmach posiadających oddziały lub partnerów w Azji poziom zagrożenia rośnie ze względu na regionalne dopasowanie przynęt i znajomość lokalnego ekosystemu narzędzi.

Rekomendacje

Organizacje powinny przyjąć podejście wielowarstwowe i ograniczyć możliwość pobierania oprogramowania spoza zatwierdzonych źródeł. Kluczowe znaczenie mają polityki allowlistingu, Application Control oraz kontrola źródeł instalatorów używanych przez pracowników.

  • monitorowanie nowych domen podobnych do nazw marek i usług używanych w organizacji,
  • analiza ruchu DNS i HTTP pod kątem typo-squattingu oraz nietypowych pobrań archiwów ZIP,
  • wykrywanie uruchamiania podpisanych, lecz nieznanych binariów,
  • monitorowanie prób obchodzenia AMSI i ETW oraz osadzania CLR w nietypowych procesach,
  • wymuszenie MFA dla systemów krytycznych i ograniczenie uprawnień lokalnych użytkowników,
  • segmentacja sieci oraz izolowanie stacji roboczych z podejrzaną aktywnością procesową lub sieciową,
  • regularny przegląd IOC i TTP związanych z ValleyRAT, Gh0st RAT oraz AtlasCross RAT,
  • szkolenia użytkowników dotyczące pobierania aplikacji wyłącznie z oficjalnych repozytoriów.

W przypadku wykrycia infekcji należy zakładać możliwość pełnego przejęcia hosta. Sama kwarantanna jednego pliku może nie wystarczyć. Konieczna może być analiza śledcza, reset poświadczeń, weryfikacja trwałości w innych systemach oraz sprawdzenie, czy nie doszło już do ruchu bocznego.

Podsumowanie

Kampania Silver Fox potwierdza, że nowoczesne operacje malware coraz częściej łączą inżynierię społeczną, podszywanie się pod rozpoznawalne marki, podpisane binaria i techniki wykonywania ładunku w pamięci. AtlasCross RAT stanowi istotny krok w rozwoju zaplecza tej grupy, oferując szerokie możliwości post-exploitation i skuteczniejsze obchodzenie zabezpieczeń.

Dla organizacji najważniejsze pozostaje połączenie kontroli źródeł oprogramowania, zaawansowanej telemetrii endpointów, monitoringu domen oraz szybkiej reakcji na incydenty związane z podejrzanymi instalatorami i komunikacją C2. Bez takiego podejścia kampanie podobne do tej mogą długo pozostawać niezauważone.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/03/silver-fox-expands-asia-cyber-campaign.html
  2. Hexastrike report on AtlasCross RAT and Silver Fox — https://hexastrike.com/
  3. Elastic Security Labs — code-signing certificate abuse research — https://www.elastic.co/security-labs
  4. Sekoia Threat Intelligence Blog — Silver Fox activity analysis — https://blog.sekoia.io/
  5. ESET WeLiveSecurity — ValleyRAT campaign coverage — https://www.welivesecurity.com/

DeepLoad: nowe złośliwe oprogramowanie kradnące poświadczenia i utrudniające detekcję

Cybersecurity news

Wprowadzenie do problemu / definicja

DeepLoad to nowo opisana rodzina złośliwego oprogramowania zaprojektowana z myślą o szybkim przejmowaniu poświadczeń oraz utrzymaniu obecności w środowisku ofiary nawet po częściowym usunięciu śladów infekcji. Zagrożenie łączy socjotechnikę, wykorzystanie legalnych narzędzi systemowych, wykonanie kodu wyłącznie w pamięci, wstrzykiwanie do zaufanych procesów oraz mechanizmy trwałości oparte na WMI.

Na tle wielu innych kampanii DeepLoad wyróżnia się bardzo silnym zaciemnieniem kodu. Taka konstrukcja utrudnia analizę statyczną i może wskazywać na automatyzację procesu obfuscation, co dodatkowo zwiększa zmienność próbek i komplikuje pracę zespołów bezpieczeństwa.

W skrócie

  • DeepLoad jest dystrybuowany z użyciem techniki ClickFix, w której użytkownik sam uruchamia złośliwy łańcuch infekcji.
  • Malware wykorzystuje m.in. mshta.exe, PowerShell, Add-Type oraz dynamicznie kompilowane biblioteki DLL.
  • Ładunek działa w pamięci i może zostać wstrzyknięty do legalnego procesu LockAppHost.exe.
  • Głównym celem są zapisane hasła, aktywne sesje oraz dane logowania wpisywane przez użytkownika.
  • Mechanizmy trwałości oparte na WMI mogą powodować ponowne uruchomienie infekcji nawet po pozornym oczyszczeniu systemu.

Kontekst / historia

W ostatnim czasie wyraźnie wzrosła skuteczność kampanii opartych na technice ClickFix. Mechanizm ten polega na podsunięciu ofierze komunikatu imitującego problem techniczny, a następnie nakłonieniu jej do ręcznego wykonania polecenia, które rzekomo ma naprawić błąd. W praktyce użytkownik sam inicjuje infekcję, omijając część tradycyjnych zabezpieczeń.

DeepLoad wpisuje się także w szerszy trend nadużywania natywnych komponentów Windows i legalnych narzędzi administracyjnych. Zamiast polegać wyłącznie na klasycznych plikach wykonywalnych, operatorzy wykorzystują skrypty, procesy systemowe, kompilację w locie oraz mechanizmy zarządzania systemem, co znacząco utrudnia detekcję opartą wyłącznie na sygnaturach.

Analiza techniczna

Łańcuch infekcji rozpoczyna się od fałszywego komunikatu nakłaniającego użytkownika do uruchomienia wskazanej komendy. Po jej wykonaniu tworzony jest zaplanowany task odpowiedzialny za ponowne uruchamianie loadera i zapewnienie podstawowej trwałości po restarcie systemu. Następnie malware wykorzystuje mshta.exe do komunikacji z infrastrukturą operatora i pobrania silnie zaciemnionego loadera PowerShell.

Jednym z najbardziej charakterystycznych elementów DeepLoad jest skrajnie rozbudowana warstwa paddingu kodu. Rzeczywista logika operacyjna została ukryta pod dużą ilością zbędnych instrukcji, których celem jest przeciążenie analizatorów i utrudnienie identyfikacji najważniejszych funkcji odpowiedzialnych za odszyfrowanie oraz uruchomienie ładunku.

Po rozpakowaniu malware uruchamia payload w pamięci i wstrzykuje go do zaufanego procesu LockAppHost.exe. Dodatkowo wykorzystuje funkcję Add-Type w PowerShell do wygenerowania tymczasowej biblioteki DLL, kompilowanej na nowo przy każdym uruchomieniu. Losowe nazewnictwo takich plików utrudnia tworzenie prostych wskaźników kompromitacji i reguł opartych na stałych ścieżkach.

Z perspektywy celów operacyjnych DeepLoad działa bardzo szybko. Moduł kradnący poświadczenia może rozpocząć aktywność jeszcze przed pełnym zakończeniem całego łańcucha ataku. Oznacza to, że nawet częściowe przerwanie infekcji nie musi zapobiec wyciekowi danych logowania. Dodatkowym zagrożeniem jest złośliwe rozszerzenie przeglądarki, zdolne do przechwytywania danych wpisywanych przez użytkownika w czasie rzeczywistym.

W analizowanej kampanii zaobserwowano również zapisywanie wielu plików na podłączonych nośnikach USB. Pliki podszywały się pod instalatory lub skróty do popularnego oprogramowania, co może wskazywać na próbę dalszego rozprzestrzeniania infekcji. Najbardziej problematycznym elementem pozostaje jednak wykorzystanie subskrypcji zdarzeń WMI, które umożliwiają wznowienie aktywności malware nawet po usunięciu części artefaktów.

Konsekwencje / ryzyko

Ryzyko związane z DeepLoad jest wysokie, ponieważ malware od początku koncentruje się na danych uwierzytelniających. Dotyczy to haseł zapisanych w przeglądarkach, aktywnych sesji, tokenów oraz danych wpisywanych ręcznie przez użytkownika. W środowiskach firmowych może to prowadzić do szybkiego przejęcia kont, eskalacji uprawnień i dalszego ruchu bocznego.

Drugim poważnym problemem jest możliwość pozornej remediacji. Usunięcie plików tymczasowych, zaplanowanych zadań czy innych widocznych artefaktów nie gwarantuje pełnego oczyszczenia hosta. Jeśli mechanizmy trwałości oparte na WMI pozostaną aktywne, infekcja może powrócić po kilku dniach.

Istotne znaczenie ma także silna obfuscation. Jeśli rzeczywiście jest ona generowana automatycznie, obrońcy muszą liczyć się z większą zmiennością próbek i krótszym czasem życia klasycznych sygnatur. To zwiększa znaczenie telemetrii behawioralnej, analizy procesów oraz korelacji zdarzeń.

Rekomendacje

Organizacje powinny ograniczyć skuteczność kampanii ClickFix poprzez szkolenia użytkowników, blokowanie wykonywania nieautoryzowanych poleceń z poziomu komunikatów przeglądarkowych oraz zmniejszenie możliwości ręcznego uruchamiania skryptów przez użytkowników końcowych.

Od strony technicznej warto monitorować użycie mshta.exe, PowerShell, Add-Type, dynamicznej kompilacji DLL oraz nietypowych uruchomień procesów takich jak LockAppHost.exe. Szczególnie przydatne będą mechanizmy EDR, Script Block Logging oraz reguły wykrywające injection, wykonanie w pamięci i anomalie w relacjach rodzic–dziecko procesów.

W przypadku podejrzenia infekcji konieczny jest pełny przegląd subskrypcji zdarzeń WMI, zaplanowanych zadań, katalogów tymczasowych oraz rozszerzeń przeglądarek. Należy również wymusić reset wszystkich poświadczeń powiązanych z naruszonym systemem, unieważnić aktywne sesje i tokeny oraz przeanalizować możliwość wtórnej kompromitacji innych zasobów.

Dodatkowo zalecane jest ograniczenie użycia nośników USB, monitorowanie pojawiania się plików podszywających się pod instalatory oraz wdrożenie polityk allowlistingu dla rozszerzeń przeglądarek. W nowoczesnych kampaniach właśnie te elementy coraz częściej służą do zbierania danych uwierzytelniających.

Podsumowanie

DeepLoad pokazuje, jak szybko ewoluuje współczesne malware kradnące poświadczenia. Połączenie socjotechniki ClickFix, działania w pamięci, wykorzystania legalnych komponentów systemu, złośliwych rozszerzeń przeglądarki i trwałości opartej na WMI znacząco podnosi poziom trudności dla zespołów SOC i IR.

Najważniejszy wniosek jest praktyczny: skuteczna obrona przed tego typu zagrożeniami wymaga odejścia od wyłącznie plikocentrycznej detekcji na rzecz analizy behawioralnej, monitoringu tożsamości oraz dokładnej remediacji mechanizmów trwałości. W przeciwnym razie nawet pozornie opanowany incydent może szybko powrócić.

Źródła

  1. Dark Reading — AI-Powered 'DeepLoad’ Malware Steals Credentials, Evades Detection — https://www.darkreading.com/cyberattacks-data-breaches/ai-powered-deepload-steals-credentials-evades-detection
  2. ReliaQuest — Speed Wins When Identity Fails: 2026 Annual Threat Report — https://reliaquest.com/blog/2026-annual-cyber-threat-report
  3. ReliaQuest — New Execution Technique in ClearFake Campaign — https://reliaquest.com/blog/new-execution-technique-in-clearfake-campaign/