Skip to main content

Сотрудники «Лаборатории Касперского» выявили в интернете обширную кампанию по распространению троянца удаленного доступа AsyncRAT через законный инструмент удаленного администрирования ScreenConnect. Злоумышленники используют фальшивые сайты, которые копируют официальные страницы популярных программ, с целью заражения компьютеров на базе Windows. 

«Кампания направлена как на обычных пользователей, скачивающих бесплатные утилиты из интернета, так и на корпоративные сети, где инструменты удаленного доступа часто входят в список разрешенного программного обеспечения и имеют повышенные права. Она представляет опасность, так как может привести к массовой краже учетных данных и несанкционированному доступу к системам. Украденные данные могут быть использованы для перепродажи на теневых рынках», – отметил специалист по кибербезопасности «Лаборатории Касперского» Денис Кулик. 

Как рассказал IT Speaker Андрей Кузнецов, генеральный директор ООО «РуБэкап» (входит в «Группу Астра»), AsyncRAT особенно угрожает по сравнению с другими RAT-троянами, так как он сочетает масштабность, гибкость и высокий потенциал скрытого контроля над зараженной средой. 

Эксперт по анализу защищенности компании «Газинформсервис» Роман Ноянов сообщил IT Speaker, что угроза трояна заключается в его доступности и модульности. С его помощью злоумышленники получают полный удаленный контроль над Windows-хостом, который легко модифицируется. Злоумышленники могут интегрировать легитимный ScreenConnect как часть цепочки заражения. Например, пользователь скачивает установщик с поддельного сайта популярного приложения, после чего атакующие получают удаленный доступ и устанавливают AsyncRAT. Защита от этого сценария сложнее, чем от обычного вредоносного файла, так как часть активности выглядит как работа разрешенного инструмента удаленного администрирования. 

«Основная проблема заключается не в самом трояне, а в том, насколько просто его получить. Код AsyncRAT доступен в открытом доступе с 2019 года, а конструкторы и готовые плагины продаются в Telegram-каналах и на даркнет-площадках за небольшую сумму. Известно более сорока форков, и каждая сборка обфусцируется по-своему. В результате антивирус, который определил одну версию вчера, сегодня может спокойно пропустить новую. Мы регулярно наблюдаем такие ситуации в тестовых проектах в компаниях. Если говорить об атаках на корпоративные сети, то типовой набор функций выглядит следующим образом: кейлоггер, выгрузка сохраненных паролей из браузеров, где часто хранятся учетные данные от VPN, почты и внутренних порталов, скрытый удаленный рабочий стол и загрузка модулей под конкретную инфраструктуру жертвы», – прокомментировал нашей редакции Михаил Пырьев, менеджер продукта UDV NTA. 

Как сообщили «Газете.Ru» в пресс-службе «Лаборатории Касперского», компания зафиксировала в сети более 90 доменов злоумышленников на 10 языках, включая русский. Кампания нацелена как на обычных пользователей, так и на организации. 

«Традиционные способы проникновения троянов включают фишинговые письма от “социальных инженеров”. На этом пути перечисленные сигнатурные средства защиты –  зачастую, единственный барьер. И в нем теперь образовалась огромная брешь. Далее – компрометация учетных записей, внедрение в инфраструктуру, кража или повреждение данных… В общем, все этапы развивающейся атаки (APT) осуществляются нарушителями уровня H2 (имеющие базовые навыки программирования одиночки) или даже Н1 (пользующиеся готовыми доступными инструментами атаки), а не только H3 (организованная преступность) и H4 (разведки иностранных государств), как это было ранее», – прокомментировал ситуацию для IT Speaker Султан Салпагаров, архитектор по информационной безопасности Getmobit. 

Как рассказал IT Speaker Дмитрий Карасовский, руководитель отдела по информационной безопасности Axiom JDK, основные риски, которые троян несет для бизнеса – это: 

  • полный удаленный доступ к зараженному устройству. Это превращает один скомпрометированный компьютер в точку входа во всю инфраструктуру компании;

  • Развертывание шифровальщиков. После закрепления в сети через AsyncRAT злоумышленники могут запустить шифровальщик, блокирующий доступ ко всем данным пользователя;

  • AsyncRAT как «шлюз» для доставки другого вредоносного ПО. Вредонос может оставаться незамеченным месяцами, обеспечивая постоянный доступ в сеть для последующих операций. 

«Украденные данные монетизируются двумя путями. Первый – прямой: доступы к почте, VPN, CRM, банкам и криптокошелькам продаются или используются для мошеннических действий. Второй – как плацдарм: через скомпрометированную учетную запись атакующие входят в корпоративную сеть, изучают инфраструктуру, повышают привилегии и продолжают свои действия», – прокомментировал Ноянов. 

Михаил Пырьев добавил, что после заражения трояном AsyncRAT, доступ к украденным данным может продаваться брокерам, которые затем перепродают его операторам шифровальщиков. Также, по словам Дмитрия Карасовского, собранная информация о системе и сети помогает злоумышленникам планировать lateral movement (боковое перемещение) – атаку, при которой хакеры получают доступ к одному устройству и затем перемещаются по корпоративной сети для захвата новых. 

Как выяснили специалисты в ходе расследования инцидента, злоумышленники распространяют архивы, замаскированные под установщики таких программ, как OBS Studio, DNS Jumper, DS4Windows, Glary Utilities и Bandicam. Для привлечения жертв они применяют методы поисковой оптимизации, которые позволяют вредоносным сайтам занимать высокие позиции в результатах поиска. 

Вместо ожидаемого программного обеспечения пользователи скачивают ScreenConnect, с помощью которого атакующие получают стабильный доступ к устройству и устанавливают троянец AsyncRAT с открытым исходным кодом, позволяющий полностью контролировать зараженный компьютер. 

«Защита должна быть многоуровневой: ПО только из проверенных источников, контроль установки MSI из непроверенных источников, контроль remote admin tools, MFA для внешних доступов, EDR и мониторинг исходящих соединений. Ранние признаки заражения – внезапное появление ScreenConnect, AnyDesk и подобного программного обеспечения, запуск дочерних процессов PowerShell/VBS от имени программ удаленного доступа, новые задачи планировщика, обращения к неизвестным доменам и попытки обхода антивируса», – рассказал Ноянов о мерах защиты, которые помогут снизить риск заражения подобными троянами. 

Султан Салпагаров добавил, что единственным эффективным способом защиты от таких троянов является отказ от концепции периметровой защиты в пользу нулевого доверия (ZeroTrust). По словам Андрея Кузнецова, для защиты от трояна необходимо проводить обучение сотрудников по фишингу. Это связано с тем, что AsyncRAT часто распространяется через социальную инженерию. В дополнение к этому стоит регулярно обновлять средства защиты, проводить IOC-проверки и осуществлять проактивные инспекции конечных точек. 

«Полагаться исключительно на хостовую защиту в случае AsyncRAT однозначно не стоит. Свежие сборки трояна могут работать в памяти без записи на диск и умеют отключать защитные механизмы. Однако полностью скрыть сетевую активность AsyncRAT не может: троян все равно должен обращаться к управляющему серверу. Поэтому системы класса NTA работают с копией трафика и выявляют заражение сразу по нескольким признакам. Первый признак связан с индикаторами компрометации: доменами и адресами известной C2-инфраструктуры из фидов киберразведки. Второй – с отпечатками TLS. Многие варианты AsyncRAT собраны на нестандартных криптобиблиотеках .NET и выдают себя редкими JA3/JA3s, причем для этого не требуется расшифровывать сессию. Третий признак – поведение: опасные команды в прикладных протоколах, обращения к динамическим DNS и нетипичные исходящие соединения. На практике именно сеть предоставляет достаточно информации для локализации и реагирования на угрозу до того, как данные успеют утечь, а шифровальщик будет запущен», – добавил Пырьев.

Ранее специалисты Group-IB обнаружили 62 289 зараженных устройств трояном Millenium RAT более чем в 160 странах. Наиболее активное распространение вредоносной программы пришлось на первый квартал 2026 года. Так, за три месяца Millenium RAT скомпрометировал 39 730 устройств. 

     Вас может заинтересовать: 

Positive Technologies: в сети выросло число дипфейков

Close Menu
Новости интернет маркетинга, сайтов, новости нейросетей и технологий