Исследователи угроз из компании WithSecure раскрыли информацию о том, как киберпреступные группировки обмениваются друг с другом хакерскими инструментами. Инструмент, отслеживаемый исследовательской группой под названием Silkloader, представляет собой загрузчик-маяк, который использует DLL Sideloading в VLC Media Player для загрузки и запуска Cobalt Strike.
«Маяки Cobalt Strike очень хорошо известны, и их обнаружение на защищённой машине практически гарантировано. Однако злоумышленники используют популярное легитимное приложение VLC Media Player, подверженное боковой загрузке вредоносных DLL-библиотек. Таким образом злоумышленникам действительно удаётся обойти антивирусные решения и внедрить вредоносное ПО», — заявили исследователи WithSecure.
По данным исследователей, загрузчик Silkloader был впервые использован в прошлом году, когда был развернут китайскими хакерами против целей в Восточной Азии, в основном в Китае и Гонконге. Однако эта кампания киберпреступной деятельности пошла на убыль и прекратилась в июле 2022 года. Затем, ближе к концу года, компания WithSecure обнаружила ряд кибервторжений с использованием того же Silkloader, но уже в ряде европейских стран.
«Мы считаем, что Silkloader в настоящее время распространяется в рамках российской киберпреступной экосистемы в виде готового загрузчика по программе «Packer-as-a-Service» среди групп вымогателей или через инфраструктуру Cobalt Strike», — сообщил Хасан Неджад, эксперт WithSecure.
По словам Неджада, вполне вероятно, что китайский оператор Silkloader, который, возможно, даже был независимым программистом, продал загрузчик российским хакерам. Неджад предполагает, что покупателем мог быть кто-то тесно связанный с уже несуществующей группировкой Conti.
Паоло Палумбо, вице-президент WithSecure Intelligence, считает, что очевидная доступность Silkloader как услуги также подчёркивает, насколько сложным может быть противодействие финансово мотивированным киберпреступлениям.
«Злоумышленники используют индустрию киберпреступности для приобретения новых возможностей и технологий, чтобы быстро адаптировать свои операции под нужные им цели. Это затрудняет экспертное расследование, ведь связать определённые ресурсы и инструменты с конкретной группой или режимом работы — гораздо сложнее», — заявил Палумбо.
«С другой стороны, это совместное использование хакерами одной и той же инфраструктуры даёт нам возможность придерживаться определённого вектора оборонительной силы, с помощью которого мы можем защищаться от нескольких групп злоумышленников одновременно, создавая стратегии для эффективного противодействия используемым им ресурсам», — оптимистично подытожил вице-президент WithSecure.
