1 ярлык в автозагрузке — и сеть под контролем. Хакеры научились ловить команды прямо из трафика

Японская компания Internet Initiative Japan (IIJ) сообщила о наблюдении новой версии вредоносного ПО Type 1 Backdoor, которое связывают с кибершпионской группировкой DRBControl. Анализ показал, что в атаках используется сложная многоступенчатая схема загрузки, а сам бэкдор получил ряд заметных изменений по сравнению с ранее известными образцами.

DRBControl — это APT-группа, о которой стало известно ещё в 2020 году. Исследователи тогда описывали её как операторов кибершпионской кампании, нацеленной в том числе на игорный бизнес, и допускали связь с APT41 и APT272. Новые находки IIJ указывают на то, что активность группы могла продолжаться и в последующие годы.

В ходе расследования специалисты обратили внимание на подозрительный DLL-файл, загруженный на VirusTotal из Тайваня под именем wlbsctrl.dll. Он маскировался под легитимную библиотеку Windows и, предположительно, запускался через DLL side-loading. При вызове экспортируемой функции файл считывал данные из ntuser.ini, внедрял их в процесс winlogon.exe и запускал код уже в его контексте. Этот код представлял собой шеллкод, который, по мнению исследователей, является вариантом загрузчика Mofu Loader.

После запуска шеллкод динамически разрешал адреса ключевых Windows API, расшифровывал встроенные данные, распаковывал их и передавал управление следующей стадии — DLL-бэкдору Type 1 Backdoor с намеренно повреждённым PE-заголовком. Подобная схема, а также совпадения в алгоритмах шифрования и используемых API, позволили IIJ с высокой уверенностью связать обнаруженный загрузчик с семейством Mofu Loader, которое ранее применялось для доставки других RAT и использовалось разными APT-группами.

Сам Type 1 Backdoor оказался развитым трояном удалённого доступа, написанным на C++. По сравнению с предыдущими версиями он получил новые механизмы закрепления в системе: вместо записи в ключи автозапуска реестра вредонос копирует ярлык в папку автозагрузки каждого пользователя, добиваясь запуска при входе в систему. Кроме того, исследователи обнаружили необычный способ получения конфигурации — бэкдор может перехватывать специально сформированные сетевые пакеты в промискуитетном режиме и извлекать из них адреса C2-серверов и параметры связи. Это позволяет не хранить такие данные внутри файла и усложняет анализ образца.

В коде также нашлись заготовки для получения настроек через легитимные онлайн-сервисы Microsoft, хотя на момент исследования эта функциональность уже не использовалась. Ранее подобные приёмы встречались в малвари, связанной с APT41 и ShadowPad.

Анализ структуры показал, что бэкдор построен по модульному принципу: часть функций была удалена, другие, наоборот, добавлены, включая возможности удалённого рабочего стола и сетевого туннелирования. Изменилась и логика работы кейлоггера и мониторинга буфера обмена — теперь данные сохраняются под видом системных файлов и кодируются собственным алгоритмом.

В IIJ подчёркивают, что различия между версиями Type 1 Backdoor не выглядят как обычное обновление и могут указывать на гибкую архитектуру, позволяющую собирать вредонос под конкретные задачи. С учётом того, что DRBControl могла вести операции на протяжении нескольких лет, специалисты призывают не снижать уровень бдительности и учитывать новые индикаторы компрометации при защите инфраструктуры.