Злоумышленники атакуют российские компании с помощью загрузчика, почти невидимого для средств защиты

Загрузчик GuLoader обладает широкими возможностями по обходу различных СЗИ и сред исполнения, включая виртуальные машины и песочницы

28 декабря 2024 г.

Обойдя средства защиты, GuLoader может загрузить на скомпрометированное устройство различное ВПО.

На протяжении всего 2024 года команда BI.ZONE Threat Intelligence фиксировала рассылку загрузчика, который злоумышленники использовали для атак на российские организации. Инструмент загружал на скомпрометированные устройства широкий спектр вредоносных программ, в том числе стилеры и трояны удаленного доступа. ВПО запускалось только после того, как GuLoader выполнял предварительную проверку среды исполнения. Это повышало шансы преступников на то, что вредоносная программа будет запущена не в виртуальной среде или песочнице, а на реальном устройстве, и помогало достичь цели атаки.

Целями атакующих, как правило, становились российские компании из сфер доставки и логистики, страхования и фармацевтики. Для доставки загрузчика использовались фишинговые письма. Чтобы сделать фишинг более правдоподобным и вызвать доверие у пользователей, злоумышленники рассылали письма от имени реальных компаний — промышленных предприятий, металлургических комбинатов, строительных компаний, почтовых и логистических организаций и так далее.

Во вложении к фишинговому письму был архив с исполняемым файлом формата PE‑EXE (реже VBS). Если жертва запускала файл, загрузчик GuLoader устанавливался на устройство.

GuLoader обладает рядом особенностей. В его коде имеется весьма широкий арсенал как низкоуровневых, так и высокоуровневых техник и программных процедур, которые позволяют обходить средства защиты и среды исполнения, включая виртуальные машины и продукты класса sandbox. Также GuLoader примечателен тем, что в качестве основной нагрузки он может загружать самое разное ВПО. Например, Remcos RAT — коммерческий remote access tool, который используется как remote access trojan. Также загрузчик может устанавливать известные стилеры FormBook и Agent Tesla, которые активно используются злоумышленниками.

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence

После запуска и NSIS‑распаковки GuLoader начинает проводить различные проверки, чтобы избежать отладки, выполнения в песочнице или в виртуализированных средах. Так, загрузчик проводит проверку на наличие VM‑характерных строк в памяти, использует VEH и инструкции CPUID и RDTSC, перечисляет и подсчитывает количество окон в системе и так далее. Если все проверки прошли успешно, система и исполняемая среда не были признаны виртуальной машиной или песочницей, а также не обнаружено факта отладки, GuLoader выкачивает зашифрованную вредоносную нагрузку с удаленного ресурса, расшифровывает ее, внедряет в адресное пространство процесса и передает управление на шелл‑код.

Большинство нагрузок GuLoader получает из облачных сервисов, таких как Google Drive, или со сторонних серверов с обращением по IP или по домену. Примеры формата запроса:

http://XX.XXX.198.142/%FILENAME%
https://XXX-professional.com.XX/%FILENAME%
https://drive.google.com/uc?export=download&id=%SOMESTRING%

GuLoader был создан в 2019–2020 годах, и с тех пор злоумышленники неоднократно его модернизировали. Разработчики этого ВПО постоянно улучшают возможности инструмента по уходу от обнаружения средствами защиты.

Чтобы эффективно противостоять современным кибератакам, необходимо получать актуальную информацию о ландшафте угроз. Для этого рекомендуется использовать порталы киберразведки, например BI.ZONE Threat Intelligence. Эти данные позволят улучшить детект СЗИ и ускорить реагирование на инциденты.