Charon: сначала был лог-файл, потом DLL, потом шифровальщик. И ни один EDR не моргнул
NewsMakerCharon шифрует с такой скоростью, будто заплатить — это судьба.
Специалисты Trend Micro зафиксировали целевую атаку на государственный и авиационный сектор на Ближнем Востоке с применением новой программы-вымогателя Charon. Злоумышленники задействовали сложную цепочку заражения с подгрузкой DLL (sideloading), внедрением в процессы и функциями обхода EDR, что характерно скорее для продвинутых APT-операций , чем для типичного шифровальщика.
Вектор атаки начинается с запуска легитимного файла Edge.exe (в прошлом — cookie_exporter.exe), который используется для подгрузки вредоносной библиотеки msedge.dll, получившей название SWORDLDR. Последняя расшифровывает зашифрованный shellcode из файла DumpStack.log и внедряет полезную нагрузку — собственно, Charon — в процесс svchost.exe, маскируя активность под системную службу Windows.
После расшифровки всех уровней маскировки эксперты подтвердили, что окончательный исполняемый файл осуществляет шифрование данных и оставляет характерную метку заражения — «hCharon is enter to the urworld!» — в конце каждого зашифрованного файла. Все зашифрованные файлы получают расширение .Charon, а в директориях появляется записка с требованиями выкупа — How To Restore Your Files.txt, в которой упоминается конкретная жертва, что подтверждает целевой характер атаки.
Charon поддерживает множество параметров командной строки — от указания путей шифрования до приоритезации сетевых ресурсов. При запуске он создаёт мьютекс под названием OopsCharonHere, завершает процессы защиты, отключает службы безопасности, удаляет теневые копии и очищает корзину. Затем многопоточными потоками приступает к шифрованию, избегая системных файлов (.exe, .dll), а также своих собственных компонентов и записки о выкупе.
Для шифрования используется гибридная схема: Curve25519 для обмена ключами и ChaCha20 для шифрования данных. Каждый файл снабжается 72-байтным футером с открытым ключом жертвы и метаданными, что позволяет расшифровать данные при наличии приватного ключа. В зависимости от размера файла применяется выборочное шифрование — от полного (для файлов <64 КБ) до частичного (до 7 сегментов в больших файлах).
Кроме того, Charon обладает функциями бокового перемещения — он сканирует сеть с использованием NetShareEnum и WNetEnumResource, шифрует доступные общие ресурсы и даже работает с UNC-путями, пропуская только ADMIN$ для снижения шансов быть замеченным.
В бинарнике также присутствует, хотя и неактивен, компонент на основе драйвера из открытого проекта Dark-Kill, предназначенный для отключения EDR-решений . Он должен устанавливаться как служба WWC, однако в текущей версии не используется — вероятно, функция ещё не задействована и готовится к будущим итерациям.
Несмотря на то, что использование похожего на китайскую группу Earth Baxia инструментария вызывает подозрения, убедительных доказательств их участия нет — возможно, речь идёт о заимствовании тактик или независимой разработке на основе тех же концепций.
Факт появления Charon — это очередное подтверждение того, что шифровальщики активно перенимают сложные методы APT-групп. Объединение продвинутых техник уклонения с прямым бизнес-ущербом в виде потери данных и простоя усиливает риски и требует от организаций пересмотра стратегии защиты. Даже хорошо укреплённые инфраструктуры могут оказаться уязвимыми. Поэтому ключевыми мерами защиты остаются жёсткие ограничения на sideloading , мониторинг процессов, изоляция бэкапов, регулярная проверка восстановлений и отказ от универсального доступа к административным шарам.
Специалисты Trend Micro зафиксировали целевую атаку на государственный и авиационный сектор на Ближнем Востоке с применением новой программы-вымогателя Charon. Злоумышленники задействовали сложную цепочку заражения с подгрузкой DLL (sideloading), внедрением в процессы и функциями обхода EDR, что характерно скорее для продвинутых APT-операций , чем для типичного шифровальщика.
Вектор атаки начинается с запуска легитимного файла Edge.exe (в прошлом — cookie_exporter.exe), который используется для подгрузки вредоносной библиотеки msedge.dll, получившей название SWORDLDR. Последняя расшифровывает зашифрованный shellcode из файла DumpStack.log и внедряет полезную нагрузку — собственно, Charon — в процесс svchost.exe, маскируя активность под системную службу Windows.
После расшифровки всех уровней маскировки эксперты подтвердили, что окончательный исполняемый файл осуществляет шифрование данных и оставляет характерную метку заражения — «hCharon is enter to the urworld!» — в конце каждого зашифрованного файла. Все зашифрованные файлы получают расширение .Charon, а в директориях появляется записка с требованиями выкупа — How To Restore Your Files.txt, в которой упоминается конкретная жертва, что подтверждает целевой характер атаки.
Charon поддерживает множество параметров командной строки — от указания путей шифрования до приоритезации сетевых ресурсов. При запуске он создаёт мьютекс под названием OopsCharonHere, завершает процессы защиты, отключает службы безопасности, удаляет теневые копии и очищает корзину. Затем многопоточными потоками приступает к шифрованию, избегая системных файлов (.exe, .dll), а также своих собственных компонентов и записки о выкупе.
Для шифрования используется гибридная схема: Curve25519 для обмена ключами и ChaCha20 для шифрования данных. Каждый файл снабжается 72-байтным футером с открытым ключом жертвы и метаданными, что позволяет расшифровать данные при наличии приватного ключа. В зависимости от размера файла применяется выборочное шифрование — от полного (для файлов <64 КБ) до частичного (до 7 сегментов в больших файлах).
Кроме того, Charon обладает функциями бокового перемещения — он сканирует сеть с использованием NetShareEnum и WNetEnumResource, шифрует доступные общие ресурсы и даже работает с UNC-путями, пропуская только ADMIN$ для снижения шансов быть замеченным.
В бинарнике также присутствует, хотя и неактивен, компонент на основе драйвера из открытого проекта Dark-Kill, предназначенный для отключения EDR-решений . Он должен устанавливаться как служба WWC, однако в текущей версии не используется — вероятно, функция ещё не задействована и готовится к будущим итерациям.
Несмотря на то, что использование похожего на китайскую группу Earth Baxia инструментария вызывает подозрения, убедительных доказательств их участия нет — возможно, речь идёт о заимствовании тактик или независимой разработке на основе тех же концепций.
Факт появления Charon — это очередное подтверждение того, что шифровальщики активно перенимают сложные методы APT-групп. Объединение продвинутых техник уклонения с прямым бизнес-ущербом в виде потери данных и простоя усиливает риски и требует от организаций пересмотра стратегии защиты. Даже хорошо укреплённые инфраструктуры могут оказаться уязвимыми. Поэтому ключевыми мерами защиты остаются жёсткие ограничения на sideloading , мониторинг процессов, изоляция бэкапов, регулярная проверка восстановлений и отказ от универсального доступа к административным шарам.