CSHARP-STREAMER, недавно привлекший внимание в ходе расследования атаки с использованием вымогательского ПО Metaencryptor, представляет собой удалённый доступ Trojan (RAT), развернутый через загрузчик PowerShell. Этот RAT использует различные общедоступные техники, такие как AMSI-Memory-Bypass и XOR-дешифрование.
Многообразие атак
Исследователи безопасности выявили участие CSHARP-STREAMER в нескольких атаках, включая развертывание вымогательского ПО ALPHV и кампании, связанные с REvil и Operation White Stork. Особо примечательна функция TCP реле этого RAT, позволяющая злоумышленникам перемещаться по внутренним сетям.
Были замечены различные версии вредоносного ПО CSHARP-STREAMER, причем в новых вариантах отсутствуют некоторые функции, присутствующие в старых образцах. Эта эволюция возможностей вредоносного ПО указывает на продолжающееся развитие и адаптацию со стороны злоумышленников.
Модульная структура
Интересным аспектом CSHARP-STREAMER является его модульная природа, что предполагает возможность использования в модели
Анализ и обнаружение
Анализ вредоносного ПО выявил ключевые инсайты в разработке и эксплуатации CSHARP-STREAMER, включая ранние образцы с отладочными символами и китайским кодом. Механизмы обнаружения этого RAT включают:
- Мониторинг блоков скриптов PowerShell
- Анализ определенных заголовков веб-запросов
- Идентификация уникальных пользовательских агентов
Эти методы позволяют исследователям и специалистам по кибербезопасности более эффективно противостоять угрозам, связанным с CSHARP-STREAMER.