Как злоумышленники используют легитимные утилиты Windows для распространения CastleRAT и DonutLoader

Как злоумышленники используют легитимные утилиты Windows для распространения CastleRAT и DonutLoader

Группа, известная под именем Velvet Tempest, продолжает активную кампанию, в которой сочетает технику ClickFix с обычными системными средствами Windows. В результате этих действий в инфраструктуре жертв появляется загрузчик DonutLoader и бекдор CastleRAT, что в конечном итоге приводит к компрометации и вымогательским атакам, связанным с семейством ransomware Termite.

Что происходит на техническом уровне

• ClickFix – метод, позволяющий обойти традиционные средства защиты, используя легитимные функции Windows (например, планировщик задач, PowerShell, WMI).
• Legitimate Windows utilities – злоумышленники запускают такие инструменты, как schtasks.exe, wmic.exe и powershell.exe, чтобы выполнить загрузку и установку вредоносного кода без привлечения подозрительных исполняемых файлов.
• DonutLoader – модуль‑загрузчик, способный динамически генерировать и исполнять шифрованный код, что усложняет его обнаружение статическими анализаторами.
• CastleRAT – бекдор, предоставляющий удалённый доступ к системе, возможность выгрузки файлов, выполнение команд и дальнейшее распространение дополнительных нагрузок, в том числе ransomware Termite.

Комбинация этих компонентов позволяет атакующим быстро захватывать новые узлы, используя уже существующие доверенные пути внутри сети.

Почему это важно для управления внешней поверхностью атаки

1. Легитимные инструменты → низкая вероятность срабатывания сигнатурных систем. Традиционные антивирусы и EDR часто ориентированы на неизвестные или подозрительные исполняемые файлы. При использовании встроенных утилит Windows такие решения могут не сработать.
2. Расширение зоны риска за пределы периметра. Техника ClickFix часто применяется в сценариях, когда злоумышленник уже имеет ограниченный доступ (например, через компрометированный веб‑сервер или уязвимый сервис). Оттуда он «перепрыгивает» к более ценным ресурсам, используя те же легитимные механизмы.
3. Сложность обнаружения в облачных и гибридных средах. При работе в мультиоблачных инфраструктурах, где администраторы часто полагаются на автоматизацию через PowerShell и WMI, такие атаки могут оставаться незамеченными до момента активации ransomware.

Последствия для бизнеса

• Прерывание бизнес‑процессов: внедрение CastleRAT открывает путь к установке ransomware Termite, который шифрует данные и требует выкуп.
• Утрата конфиденциальных данных: бекдор обеспечивает возможность exfiltration, что может привести к утечкам персональных и коммерческих сведений.
• Повышенные затраты на восстановление: необходимость восстановления из резервных копий, проведение форензики и пересмотр политик доступа.
• Репутационный ущерб: публичные сообщения о компрометации могут подорвать доверие клиентов и партнёров.

Практические рекомендации для команд безопасности

• Укрепление контроля за легитимными утилитами

  • Внедрить строгие правила Application Control (например, Microsoft AppLocker или Windows Defender Application Control), ограничивая запуск powershell.exe, schtasks.exe, wmic.exe только из проверенных путей и под управлением авторизованных аккаунтов.
  • Активировать PowerShell Constrained Language Mode для сервисных аккаунтов, где это возможно.

• Мониторинг и детектирование поведения

  • Настроить EDR‑решения на отслеживание аномального использования системных команд (массовый запуск задач, создание новых служб, удалённые вызовы WMI).
  • Использовать SIEM для корреляции событий, связанных с ClickFix‑похожими паттернами (например, сочетание schtasks + загрузка из внешних URL).

• Управление привилегиями

  • Применять принцип Least Privilege к учетным записям, особенно к тем, которые имеют возможность выполнять скрипты или планировать задачи.
  • Внедрить Just‑In‑Time Access для временного предоставления прав только в момент необходимости.

• Обновление и патч‑менеджмент

  • Регулярно проверять наличие обновлений для компонентов Windows, особенно для PowerShell, WMI и планировщика задач, чтобы закрыть известные уязвимости, которые могут использоваться в цепочке атаки.

• Тестирование и имитация

  • Проводить Red Team‑упражнения, моделируя сценарий ClickFix с использованием легитимных утилит, чтобы оценить эффективность текущих детектирующих правил.
  • Включить в Purple Team‑сессии совместный анализ обнаруженных индикаторов и последующей доработки правил защиты.

• Резервное копирование и восстановление

  • Обеспечить изолированное хранение резервных копий (offline/immutable), чтобы ransomware не смог зашифровать их.
  • Регулярно проверять возможность восстановления из резервных копий без участия потенциально скомпрометированных систем.

• Обучение персонала

  • Проводить тренинги по распознаванию фишинговых сообщений и подозрительных запросов, которые могут стать первой точкой входа для группы Velvet Tempest.
  • Информировать администраторов о рисках использования легитимных утилит в автоматизации без надлежащего контроля.

Следуя этим рекомендациям, организации смогут уменьшить вероятность успешного применения техники ClickFix и ограничить потенциальный ущерб от внедрения CastleRAT и последующего ransomware‑вируса Termite. Постоянный мониторинг поведения, строгий контроль привилегий и регулярные тесты безопасности становятся ключевыми элементами в защите внешней поверхности атаки.