Анализ обновлённого кода BellaCiao раскрыл неожиданное направление развития угрозы.
Хакерская группировка Charming Kitten продолжает развивать своё вредоносное программное обеспечение, что подтверждает недавняя находка исследователей из «Лаборатории Касперского» — нового варианта BellaCiao, написанный на C++.
Этот образец, получивший название BellaCPP, был обнаружен на том же компьютере, где ранее зафиксировали заражение оригинальной версией BellaCiao на базе .NET. Эксперты установили, что новая версия сохранила ключевые функции оригинала, однако лишилась встроенного веб-шелла.
Анализ пути отладки (PDB) выявил, что BellaCiao содержит информацию, позволяющую определить целевую страну и организацию. В строках PDB часто встречается имя «MicrosoftAgentServices», дополненное числовыми суффиксами для обозначения версий. Это указывает на тщательную работу разработчиков, направленную на улучшение функционала и повышение эффективности атак.
BellaCPP, зарегистрированный как DLL-файл с именем «adhapl.dll», демонстрирует поведение, сходное с предыдущими версиями. Программа использует XOR-шифрование для декодирования строк, запускает функции DLL и генерирует домены по определённому шаблону. Если результаты DNS-запроса совпадают с жёстко заданным IP-адресом, вредонос выполняет команды, включая настройку SSH-туннелей.
Похожее поведение наблюдалось в более ранних версиях BellaCiao, однако BellaCPP использует упрощённый механизм взаимодействия без зависимости от веб-шелла. Предполагается, что отсутствующий файл «D3D12_1core.dll» участвует в создании SSH-туннелей, что повышает стойкость атак.
На основе сходства механизмов и использования известных доменов эксперты с высокой степенью уверенности связывают BellaCPP с Charming Kitten. Кроме того, обнаружение на одном устройстве как BellaCPP, так и оригинального BellaCiao подтверждает общую стратегию использования модифицированных образцов для обхода систем защиты.
Этот случай подчёркивает важность углублённого анализа заражённых сетей, так как злоумышленники активно разрабатывают новые версии ПО, остающиеся незамеченными стандартными решениями безопасности.
Хакерская группировка Charming Kitten продолжает развивать своё вредоносное программное обеспечение, что подтверждает недавняя находка исследователей из «Лаборатории Касперского» — нового варианта BellaCiao, написанный на C++.
Этот образец, получивший название BellaCPP, был обнаружен на том же компьютере, где ранее зафиксировали заражение оригинальной версией BellaCiao на базе .NET. Эксперты установили, что новая версия сохранила ключевые функции оригинала, однако лишилась встроенного веб-шелла.
Анализ пути отладки (PDB) выявил, что BellaCiao содержит информацию, позволяющую определить целевую страну и организацию. В строках PDB часто встречается имя «MicrosoftAgentServices», дополненное числовыми суффиксами для обозначения версий. Это указывает на тщательную работу разработчиков, направленную на улучшение функционала и повышение эффективности атак.
BellaCPP, зарегистрированный как DLL-файл с именем «adhapl.dll», демонстрирует поведение, сходное с предыдущими версиями. Программа использует XOR-шифрование для декодирования строк, запускает функции DLL и генерирует домены по определённому шаблону. Если результаты DNS-запроса совпадают с жёстко заданным IP-адресом, вредонос выполняет команды, включая настройку SSH-туннелей.
Похожее поведение наблюдалось в более ранних версиях BellaCiao, однако BellaCPP использует упрощённый механизм взаимодействия без зависимости от веб-шелла. Предполагается, что отсутствующий файл «D3D12_1core.dll» участвует в создании SSH-туннелей, что повышает стойкость атак.
На основе сходства механизмов и использования известных доменов эксперты с высокой степенью уверенности связывают BellaCPP с Charming Kitten. Кроме того, обнаружение на одном устройстве как BellaCPP, так и оригинального BellaCiao подтверждает общую стратегию использования модифицированных образцов для обхода систем защиты.
Этот случай подчёркивает важность углублённого анализа заражённых сетей, так как злоумышленники активно разрабатывают новые версии ПО, остающиеся незамеченными стандартными решениями безопасности.