Китайские хакеры создали вредоносный код, который практически невозможно обнаружить

Исследователи из Google Threat Intelligence Group (GTIG) обнаружили новую кампанию китайских хакеров, где был применён инновационный метод сокрытия вредоносного кода под названием ScatterBrain. Этот инструмент, являющийся усовершенствованием предыдущей разработки ScatterBee, позволяет вирусам оставаться незамеченными значительно дольше.

Ключевым элементом обнаруженной атаки является вредоносный модуль POISONPLUG.SHADOW, который, как предполагается, используется исключительно группировкой APT41. Новый инструмент маскировки усложняет работу специалистов по информационной безопасности, делая анализ вредоносного ПО практически невозможным.

ScatterBrain работает в нескольких режимах: выборочная защита отдельных функций, полная обфускация всего кода или наиболее сложный вариант — полное сокрытие заголовков файлов и шифрование данных. Это затрудняет как статическое изучение программы, так и её динамический анализ.

Кроме того, в инструмент встроены передовые техники, такие как непрозрачные предикаты, которые искусственно усложняют выполнение кода, и защита импорта, скрывающая вызовы API за зашифрованными таблицами. Эти меры ещё больше усложняют автоматическое обнаружение и разбор программы.

GTIG удалось воссоздать алгоритмы ScatterBrain и предложить обходные решения, однако общий тренд на усложнение вредоносных программ очевиден.

Эксперты Google советуют компаниям обновлять защитные системы и использовать современные инструменты анализа, чтобы противостоять новым угрозам.

GTIG удалось воспроизвести алгоритмы ScatterBrain и найти способы их обхода. Однако, исследователи подчеркивают, что вредоносные программы становятся всё сложнее, а хакеры продолжают совершенствовать свои методы маскировки.