Исследовательская группа eSentire сообщила о выявлении нового бэкдора ChaosBot, написанного на Rust и использующего платформу Discord в качестве центра управления и контроля (C2). Вредонос впервые зафиксирован в инфраструктуре клиента из финансового сектора в конце сентября 2025 года. По словам специалистов, инструмент позволяет злоумышленникам проводить разведку, выполнять произвольные команды и закрепляться в сети с использованием легитимного трафика, что осложняет детектирование традиционными средствами.
Вектор проникновения: фишинговые LNK и украденные учетные данные
На этапе первоначального доступа атакующие опирались на компрометацию учетных записей, применимых и к Cisco VPN, и к привилегированной учетной записи AD (serviceaccount). Используя эти данные, противник применил WMI для удаленного выполнения команд в доменной среде — классический прием латерального перемещения. В почтовых кампаниях рассылались LNK-файлы; при их открытии запускалась PowerShell-команда, загружавшая и исполнявшая ChaosBot, тогда как пользователю показывался подложный PDF, имитирующий письмо Государственного банка Вьетнама для отвлечения внимания.
Загрузка и маскировка под компоненты Edge
Полезная нагрузка представлена DLL msedge_elf.dll, подгружаемой через исполняемый файл Microsoft Edge identity_helper.exe. Такой «живущий за счет легитимных процессов» подход снижает шум телеметрии и повышает шансы на обход сигнатурных детекторов. После развертывания ChaosBot проводит системную разведку и доставляет fast reverse proxy (FRP) для организации обратного прокси-канала во внешнюю сеть с целью устойчивого удаленного доступа.
Управление через Discord и функциональные возможности
Главная особенность кампании — использование Discord как C2. Для каждого скомпрометированного хоста создается канал, совпадающий с именем компьютера, куда операторы отправляют дальнейшие инструкции. Исследователи привязывают активность к аккаунтам Discord chaos_00019 и lovebb0024. Наблюдаемый функционал включает сбор информации о системе, выполнение команд и управление компонентами, такими как FRP, для расширения присутствия в сети.
Техники уклонения: обход ETW и анти-VM проверки
По данным eSentire, новые сборки ChaosBot внедряют методы противодействия аналитике и песочницам. Во-первых, производится патчинг ntdll!EtwEventWrite (замена первых инструкций на «возврат»), что минимизирует событийную телеметрию и усложняет работу EDR/ETW-детектов. Во-вторых, реализована проверка MAC-адресов на префиксы, характерные для VMware и VirtualBox; при совпадении образец немедленно завершает работу, избегая динамического анализа.
Альтернативные каналы: попытки использовать VS Code Tunnel
Помимо Discord и FRP, злоумышленники пытались настроить Visual Studio Code Tunnel как дополнительный бэкдор с возможностью выполнения команд. По наблюдениям исследователей, попытка оказалась безуспешной, однако сам выбор инструмента подчеркивает тренд на эксплуатацию легитимных разработческих сервисов для скрытного доступа.
Оценка риска и практические рекомендации
Использование Rust затрудняет статический анализ и снижает эффективность сигнатурного обнаружения, а задействование популярных платформ (Discord, VS Code Tunnel) упрощает маскировку под «обычный» сетевой трафик. С учетом латерального перемещения через WMI и применения FRP воздействие на корпоративные сети может быть существенным, особенно при наличии привилегированных учетных записей.
Рекомендуемые меры защиты:
— Принудительное MFA для VPN и админских учетных записей; регулярная ротация и минимизация прав сервисных аккаунтов.
— Жесткие политики на вложения: блокировка/карантин LNK из внешней почты, безопасные контейнеры, обучение пользователей распознаванию LNK-приманок.
— Включение правил Microsoft Defender ASR и ограничений PowerShell (Constrained Language Mode, полное логирование Script Block/Module/Transcription).
— Мониторинг и блокирование egress-трафика к Discord API по корпоративной политике или его проксирование и инспекция; детектирование аномалий Discord/Webhook-трафика.
— Контроль целостности системных библиотек и выявление патчинга EtwEventWrite; охотничьи правила на инжекты в процессы Edge и нетипичные загрузки DLL (msedge_elf.dll через identity_helper.exe).
— Обнаружение и блокирование FRP: запрет «теневых» туннелей, инвентаризация и политика по VS Code Tunnel в корпоративной среде.
ChaosBot демонстрирует, как сочетание фишинговых ярлыков, украденных учетных данных, Discord-C2 и техник уклонения позволяет быстро закрепляться в инфраструктуре и минимизировать следы. Организациям следует пересмотреть контроль вложений, сетевые политики для потребительских платформ, а также усилить охоту за угрозами вокруг PowerShell, WMI и «тихих» обратных прокси. Подпишитесь на обновления исследовательских отчетов eSentire и других профильных команд, чтобы своевременно получать индикаторы компрометации и новые TTP соперника.
