SHA1-хеши:
- 4340beb5b7a15e9d1d8b1548f98454de49f0f958
Описание
Является второй стадией трояна, который выполняет сразу несколько функций: стилер, клиппер, бэкдор, майнер и источник заражения файлов:
- первая стадия — Trojan.DownLoader49.35384,
- вторая — Trojan.DownLoader49.35687,
- третья — BackDoor.Siggen2.5906,
- четвертая — Trojan.Packed2.50953, загрузчик пятой стадии Trojan.BtcMine.3956.
Эта стадия проверяет запуск в песочнице, устанавливает соединение с C2 сервером, инжектирует BackDoor.Siggen2.5906.
Принцип действия
Шаг 1. Троян определяет, не запущен ли он в песочнице. Для этого он проверят два параметра. Во-первых, название видеоадаптера, полученное с помощью CreateDXGIFactory() не должно содержать:
- unknown,
- Microsoft Basic Render,
- NVIDIA GeForce RTX 3060 Ti.
Во-вторых, имя пользователя должно отличаться от любого из списка:
- george,
- Bruno,
- Abby,
- AMF,
- dx,
- John,
- elz,
- Admin.
Если проверка хотя бы по одному показателю проваливается, троян завершает работу.
Шаг 2. Когда проверка пройдена успешно, троян создает объект синхронизации mutex c именем Global\PFNMX(захардкоженное значение). Пример подобного объекта: \Sessions\1\BaseNamedObjects\Global\PFNMX_0o6u9MMc2QdKvqeHmgPRE008. Он помогает трояну проверить, не была ли запущена ранее на компьютере еще одна копия с таким же объектом.
Шаг 3. Троян обращается к raw файлу, доступному на GitHub по адресу raw[.]githubusercontent[.]com/XxXloverXxX/rustflare/refs/heads/main/crates/engine. Файл зашифрован через base64 и затем с помощью XOR с ключом ZwFlushKey. После декодирования троян получает адреса C2 доменов.
LhI1GFsBDSgOFT8ENR4aHw07CRgjWSUDGA== - test.recklessroleplay[.]com
PhIwHgAdHCIIHHQUPw== - devruntime[.]cy
PhY0BwYaDC5LGiM= - darkside[.]cy
KB41CQYeGGULHC4= - risesmp[.]net
NAI8FgwADTkTEDkSNUIWHAU= - nuzzyservices[.]com
Альтернативный способ получения C2 домена — через пользовательские аккаунты в Steam. Некоторые из них содержат название домена в открытом виде.
В алгоритме получения C2 есть и захардкоженные домены. Троян выбирает из списка один домен, устанавливает с ним связь и скачивает третью стадию по пути https://*домен*/Stb/PokerFace/init[.]php?id=Elton. Стадия закодирована с помощью base64.
Шаг 4. Троян проверяет, что размер новой стадии больше 18 байт, и внедряет ее при помощи Process Inject в один из следующих случайных процессов:
C:\Windows\System32\DiskSnapshot.exe
C:\Windows\System32\IESettingSync.exe
C:\Windows\System32\LegacyNetUXHost.exe
C:\Windows\System32\LockAppHost.exe
C:\Windows\System32\LsaIso.exe
C:\Windows\System32\PATHPING.EXE
C:\Windows\System32\SecureBootEncodeUEFI.exe
C:\Windows\System32\SecurityHealthHost.exe
C:\Windows\System32\SensorDataService.exe
C:\Windows\System32\SgrmLpac.exe
C:\Windows\System32\Spectrum.exe
C:\Windows\System32\SppExtComObj.Exe
C:\Windows\System32\SyncHost.exe
C:\Windows\System32\TCPSVCS.EXE
C:\Windows\System32\TapiUnattend.exe
C:\Windows\System32\TieringEngineService.exe
C:\Windows\System32\UtcDecoderHost.exe
C:\Windows\System32\dllhost.exe
C:\Windows\System32\fontdrvhost.exe
C:\Windows\System32\icacls.exe
C:\Windows\System32\ktmutil.exe
C:\Windows\System32\label.exe
C:\Windows\System32\licensingdiag.exe
C:\Windows\System32\lodctr.exe
C:\Windows\System32\logman.exe
C:\Windows\System32\makecab.exe
C:\Windows\System32\mmgaserver.exe
C:\Windows\System32\mountvol.exe
C:\Windows\System32\netbtugc.exe
C:\Windows\System32\odbcconf.exe
C:\Windows\System32\pcalua.exe
C:\Windows\System32\print.exe
C:\Windows\System32\reg.exe
C:\Windows\System32\sc.exe
C:\Windows\System32\sdchange.exe
C:\Windows\System32\sihost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\sxstrace.exe
C:\Windows\System32\tttracer.exe
C:\Windows\System32\ucsvc.exe
C:\Windows\System32\unlodctr.exe
Шаг 5. Троян создает именованный канал pipe\\VccFramework, куда передает два значения и адрес домена, с которого была скачана третья стадия. Пример: QTuVl0PCseGLafunsZPRE008:0o6u9MMc2QdKvqeHmgPRE008:darkside[.]cy.
Матрица MITRE
| Этап | Тактика |
|---|---|
| Предотвращение обнаружения |
Обфусцированные файлы или данные (T1027) Обход виртуализации или песочницы (T1497) Внедрение кода в процессы (T1055) |
| Обнаружение |
Изучение владельца или пользователей системы (Т1033) Изучение системы (Т1082) Обход виртуализации или песочницы (Т1497) |
| Организация управления |
Протокол прикладного уровня (T1071) Веб-служба (T1102) |
Подробнее об Trojan.DownLoader49.35384
Подробнее об BackDoor.Siggen2.5906
Подробнее об Trojan.BtcMine.3956
Индикаторы компрометации
Новость о трояне