Исследователи в области кибербезопасности раскрыли детали скрытого бэкдора на Python под названием DEEP#DOOR. Он обеспечивает устойчивый доступ к системе и позволяет извлекать широкий спектр конфиденциальных данных с заражённых устройств.
Атака начинается с запуска batch-скрипта install_obf.bat. Он отключает защитные механизмы Windows, извлекает встроенный Python-пейлоад svc.py и закрепляется в системе сразу несколькими способами: через папку автозагрузки, ключи реестра Run, запланированные задачи и, при необходимости, WMI-подписки.
Распространение, предположительно, происходит через фишинговые схемы. При этом масштаб атак и количество успешных заражений пока не установлены.
Ключевая особенность заключается в том, что основной Python-код встроен прямо в дроппер. Он извлекается и запускается локально, без необходимости постоянного обращения к внешней инфраструктуре, что снижает следы для анализа.
После запуска вредонос устанавливает соединение через сервис туннелирования bore.pub, написанный на Rust. Это позволяет оператору выполнять удалённые команды и проводить наблюдение за системой.
Функциональность включает удалённый доступ и сбор данных: выполнение команд, разведку системы, кейлоггинг, мониторинг буфера обмена, создание скриншотов, доступ к веб-камере и микрофону, а также извлечение учётных данных.
Собираются пароли из браузеров и системных хранилищ, включая Google Chrome, Mozilla Firefox и Windows Credential Manager. Также реализована кража облачных учётных данных для Amazon Web Services, Google Cloud и Microsoft Azure.
Использование публичного TCP-туннелирования для управления (C2) позволяет не разворачивать собственную инфраструктуру, маскировать трафик и не хранить адрес сервера внутри вредоносного кода.
DEEP#DOOR включает механизмы обхода анализа и защиты. Среди них обнаружение песочниц, отладчиков и виртуальных машин, патчинг AMSI и ETW, снятие хуков NTDLL, вмешательство в работу Microsoft Defender, обход SmartScreen и отключение логирования PowerShell.
Дополнительно реализованы очистка журналов, подмена временных меток и удаление следов выполнения команд.
Для закрепления используются несколько механизмов, которые контролируются через watchdog. Если элементы закрепления удаляются, они автоматически восстанавливаются.
В результате бэкдор функционирует как полноценный RAT, обеспечивая длительное присутствие, шпионаж, перемещение по сети и выполнение постэксплуатационных действий.
Разработка отражает тенденцию перехода к безфайловым атакам и использованию скриптовых языков. Встраивание полезной нагрузки в дроппер снижает зависимость от внешних ресурсов и усложняет обнаружение.
Источник: HN