Обнаружен новый вариант вредоносного ПО BellaCiao на C++

Исследователи из Лаборатории Касперского сообщают об обнаружении нового варианта вредоносного ПО BellaCiao на C++, который задействуется в атаках иранской APT Charming Kitt (APT35, CALANQUE, CharmingCypress, ITG18, Mint Sandstorm, Newscaster, TA453 и Yellow Garuda).

Новая версия получила название BellaCPP и была задокументирована ЛК в качестве артефакта в рамках недавнего расследования инцидента со взломом компьютера в Азии, который также был заражен вредоносным ПО BellaCiao.

BellaCiao впервые был детектирован румынской Bitdefender в апреле 2023 года, которая описала его как пользовательский дроппер, способный доставлять дополнительные полезные нагрузки.

Вредоносное ПО применялось в кибератаках, нацеленных на США, Ближний Восток и Индию.

Несмотря на все возможности проведения изощренных кампаний с передовыми методами социнженерии для доставки вредоносного ПО, в атаках с использованием BellaCiao задействовались известные уязвимости в общедоступных приложениях, таких как Microsoft Exchange Server или Zoho ManageEngine.

BellaCiao — это семейство вредоносных ПО на базе .NET, которое добавляет уникальный штрих к вторжению, сочетая скрытность веб-оболочки с возможностью создания скрытого туннеля.

Вариант BellaCiao на C++ представляет собой файл DLL с именем adhapl.dll, который реализует те же функции, что и его предок, и содержит код для загрузки другой неизвестной DLL (D3D12_1core.dll), которая, вероятно, используется для создания туннеля SSH.

Однако уникальной особенностью BellaCPP является отсутствие веб-оболочки, которая используется в BellaCiao для загрузки и скачивания произвольных файлов, а также для запуска команд.

Как отмечают в ЛК, Charming Kitten совершенствует свой арсенал семейств вредоносных ПО. Одно из них, которые они постоянно обновляют, — BellaCiao.

Оно особенно интересно с точки зрения исследования, поскольку пути PDB иногда дают некоторое представление о предполагаемой цели и ее среде.

Обнаружение образца BellaCPP подчеркивает важность проведения тщательного исследования сети и машин в ней.

Злоумышленники могут развертывать неизвестные образцы, которые могут не быть обнаружены решениями безопасности, тем самым сохраняя опору в сети после удаления «известных» образцов.

Подробный технический разбор - в отчете

26.12.2024
https://t.me/true_secator/6587​