Админы, проверьте логи: msbuild.exe и InstallUtil могут работать не на вас

Группировка APT-C-36 (Blind Eagle) активизировала деятельность в мае 2025 года, сосредоточив атаки на государственных структурах и крупных компаниях Колумбии, а также ряде стран Южной Америки, включая Эквадор, Чили и Панаму. Эта группировка, действующая как минимум с 2018 года, известна целевыми фишинговыми кампаниями против финансового и страхового сектора, а в последней операции внедрила впервые для себя более сложные методы обхода анализа — многоуровневую антивиртуализационную проверку и сложную обфускацию кода, что серьёзно осложняет детектирование в песочницах и ручную реверс-инженерию.

Сценарий заражения начинается с рассылки электронных писем с вложением в формате SVG , оформленным под тему колумбийской судебной системы. Файл содержит ссылку на Bitbucket и пароль для архива, внутри которого находятся исполняемый файл и три библиотеки. Две из них — подлинные компоненты GitKraken, а третья, libnettle-8.dll, — вредоносная. Запуск exe-файла инициирует механизм side-loading, подгружая вредоносную DLL, которая после запуска использует вставки ложных управляющих конструкций и контрольное «выравнивание» потока (control-flow flattening) для затруднения анализа.

Вредонос выполняет низкоуровневые проверки среды через CPUID и вызовы kernelbase.EnumSystemFirmwareTables, определяя наличие виртуальной машины. Если система запускается в такой среде, программа завершает работу. Собирается широкий набор сведений: имя ПК и пользователя, версия ОС, аппаратные характеристики, локальный IP, перечень каталогов и версия .NET Framework. Далее создаётся директория %USERPROFILE%\SystemRootDoc, куда копируются исходные файлы, а в реестр HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run добавляется автозагрузка для закрепления в системе.

Для внедрения основного кода применяется техника process hollowing . Создаются процессы AddInProcess32.exe, msbuild.exe и InstallUtil.exe из каталога .NET Framework, приостанавливаются, после чего в их адресное пространство через NtAllocateVirtualMemory, RtlAllocateHeap и NtWriteVirtualMemory внедряется полезная нагрузка. После возобновления потоков исполняется RAT-модуль .

Финальный компонент — клиент DcRAT , популярный среди киберпреступников открытый удалённый администртор на C#. Конфигурация, зашитая в бинарный код, указывает AES256-ключ, порт 3020, C2-домен envio16-05.duckdns.org, имя мьютекса DcRatMutex_qwqdanchun и рабочую директорию %AppData%. В базовой конфигурации антиотладочные, антианализные и VM-проверки отключены, но сервер может активировать их по команде, подстраивая поведение под обстановку.

DcRAT поддерживает WMI-проверку виртуализации, завершение процессов анализаторов (ProcessHacker, Process Explorer, Windows Defender), а также альтернативные механизмы закрепления с использованием прав администратора и без них. Постоянная связь с C2 позволяет атакующему не только управлять заражённым хостом, но и при необходимости загружать дополнительные модули.

Привязка инцидента к APT-C-36 подтверждается совпадением тематики фишинговых материалов, выбором жертв, использованием process hollowing через msbuild.exe, применением DcRAT в качестве основной платформы и повторением инфраструктурных элементов — DuckDNS для C2 и Bitbucket для хостинга вредоносных файлов . Новым в этой волне атак стало системное внедрение антидетект-методов, ранее в деятельности группы не фиксировавшихся.