Один файл в автозагрузке — и управление сетью перехвачено: Киберпреступники получают команды из трафика 

Эксперты по кибербезопасности выявили обновлённую модификацию шпионского бэкдора Type 1 Backdoor, связанную с APT-группой DRBControl. О находке сообщила японская компания Internet Initiative Japan (IIJ), отметив, что вредонос получил новые механизмы маскировки и доставки.

По данным аналитиков, злоумышленники используют многоэтапную схему заражения. Ключевую роль в ней играет поддельная DLL-библиотека, замаскированная под компонент Windows и запускаемая через технику DLL side-loading. Вредонос внедряет код в процесс winlogon.exe, после чего загружает основной бэкдор, скрытый за повреждённым PE-заголовком.

Исследователи связывают загрузчик с семейством Mofu Loader — ранее его применяли различные APT-группы для распространения троянов удалённого доступа. Совпадения в шифровании и используемых API позволили сделать такую атрибуцию с высокой степенью уверенности.

Новая версия Type 1 Backdoor отличается изменённым способом закрепления в системе: вместо записей в реестр вредонос размещает ярлык в папке автозагрузки пользователя. Также бэкдор способен получать конфигурацию, перехватывая специально сформированные сетевые пакеты, что позволяет скрывать адреса управляющих серверов и усложняет анализ.

В IIJ отмечают, что архитектура вредоноса остаётся модульной и может адаптироваться под конкретные задачи. С учётом возможной многолетней активности DRBControl специалисты рекомендуют учитывать новые индикаторы компрометации и не снижать уровень защиты корпоративных сетей.