Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Взлом по подписке: ИИ-агенты против вашего мобильного приложения

Вебинар пройдет 2 июля, начало в 14:00. Разберем, как сделать взлом вашего приложения невыгодным для злоумышленника

Сделал дело — и стёр себя. Бэкдор Mistic работает прямо в памяти и не оставляет файлов на диске

2788
Mistic MLTBackdoor KongTuke ModeloRAT программы-вымогатели
Сделал дело — и стёр себя. Бэкдор Mistic работает прямо в памяти и не оставляет файлов на диске
Mistic MLTBackdoor KongTuke ModeloRAT программы-вымогатели

Хакеры создали бэкдор, который стирает сам себя после взлома.

image

Бэкдор Mistic помогает злоумышленникам закрепляться в корпоративных сетях без записи вредоносных файлов на диск, а после выполнения задачи удаляет собственные файлы. Исследователи связывают вредоносную программу с группой, которая взламывает компании и продаёт доступ операторам программ-вымогателей.

Mistic, также известный как MLTBackdoor, впервые описали специалисты Zscaler. По оценке компании, вредоносная программа помогает атакующим получить точку опоры в сети и подготовить дальнейшее перемещение внутри инфраструктуры.

Команды Symantec и Carbon Black сообщили, что Mistic применяли в атаках с апреля. За последние месяцы бэкдор обнаружили в сетях нескольких организаций из страховой отрасли, образования, ИТ и профессиональных услуг.

Исследователи допускают связь Mistic с финансово мотивированным брокером первичного доступа KongTuke, которого Symantec отслеживает под именем Woodgnat. Такие группы обычно не запускают шифровальщик самостоятельно: преступники проникают в корпоративную сеть, закрепляются внутри инфраструктуры и продают доступ другим злоумышленникам, включая операторов программ-вымогателей.

Атрибуция остаётся предварительной. Основанием стала как минимум одна атака, где Mistic появился рядом с ModeloRAT, удалённым трояном на Python, который также связывают с KongTuke. Ранее KongTuke упоминали в контексте атак групп Qilin, Interlock, Rhysida, Akira, 8Base и Black Basta.

Дополнительный признак связи даёт цепочка заражения ClickFix. Zscaler отмечала, что Mistic распространяли через многоэтапную схему ClickFix, а Trend Micro ранее связывала злоупотребление таким приёмом с KongTuke.

В одном расследованном инциденте Mistic загрузили через легитимный файл MpExtMs.exe, после чего бэкдор запустился из DLL с названием EndpointDlp.dll. Такое оформление помогает вредоносной программе маскироваться под обычные компоненты корпоративного ПО.

Mistic умеет загружать и скачивать файлы, перемещать, переименовывать и удалять данные, создавать папки и получать команды с управляющего C2-сервера. Главная опасность связана с запуском удалённых модулей прямо в памяти: вредоносные файлы не попадают на диск, поэтому антивирусам и средствам защиты конечных устройств сложнее заметить атаку.

После выполнения задачи Mistic завершает работу и удаляет собственные файлы. По словам исследователей, сочетание запуска в памяти и встроенного механизма самоуничтожения делает бэкдор особенно скрытным и может помогать атакующим сохранять долгий незаметный доступ к сети.