PEAKLIGHT: слоёный пирог из обфускации парализует защиту корпоративных сетей

leer en español

PEAKLIGHT: слоёный пирог из обфускации парализует защиту корпоративных сетей

Автоматизированная система заражения гибко подстраивается под любые механизмы безопасности.

image

Исследователи безопасности TRAC Labs обнаружили новый вредоносный загрузчик PEAKLIGHT на базе PowerShell, разработанный для распространения инфостилеров через модель «вредоносного ПО как услуга».

По данным экспертов, начальным вектором заражения служат LNK-файлы (ярлыки Windows), которые подключаются к CDN для загрузки дроппера на JavaScript. Этот дроппер исполняет PowerShell-скрипт, который, в свою очередь, загружает вредоносный код. Среди зафиксированных вредоносных программ — LummaC2, HijackLoader и CryptBot.

PEAKLIGHT также известен как Emmenhtal Loader. Вредоносные LNK-файлы используют PowerShell в связке с «mshta.exe» для загрузки и выполнения полезных нагрузок. Например, файл «Instruction_1928_W9COI.pdf.lnk» содержит аргументы, запускающие «mshta.exe» с указанием на удалённый JSON-файл. Этот файл, в свою очередь, скачивает исполняемый файл «dxdiag.exe», содержащий зашифрованную полезную нагрузку на JavaScript.

Ключевым элементом PEAKLIGHT является многослойная обфускация. Код включает числовые массивы, преобразуемые в строки с помощью функции String.fromCharCode, и шифрование AES. Зашифрованный пейлоад расшифровывается и выполняется в памяти с использованием метода CreateDecryptor из библиотеки .NET. Обфусцированные данные превращаются в команды PowerShell, запускаемые через base64-кодирование.

Загрузчик AutoIt, встроенный в PEAKLIGHT, представляет собой ещё одну степень маскировки. Используя DLL-функции, такие как VirtualProtect, скрипт декодирует зашифрованную полезную нагрузку и исполняет её прямо из памяти. Этот метод позволяет избежать обнаружения традиционными антивирусными инструментами.

Конечная полезная нагрузка PEAKLIGHT, известная как DarkGate, включает инструменты для инъекции в процессы, маскировки и выполнения шпионских функций. Например, она может использовать метод Process Hollowing для скрытного внедрения вредоносного кода в легитимные процессы Windows.

Анализ показал использование целого ряда защитных механизмов, включая проверку среды на виртуализацию и достаточное количество свободной памяти. Скачивание полезных нагрузок осуществляется с доменов, маскирующихся под легитимные сервисы, например «docu-sign[.]info».

Для обеспечения надёжной защиты TRAC Labs рекомендует специалистам безопасности мониторить следующие активности:

  • Обращение к подозрительным URL-адресам (например, docu-sign[.]info и timeless-tales[.]shop);
  • Запуск PowerShell-скриптов с base64-кодированием;
  • Активность файлов в TEMP-папке;
  • Выполнение AutoIt-скриптов.

Использование сложных методов обфускации и многоуровневой загрузки делает PEAKLIGHT одним из наиболее опасных угроз для современных систем. TRAC Labs продолжит отслеживать эту кампании, чтобы своевременно обнаруживать новые TTP и предоставлять необходимые инструменты защиты.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!