
В первом квартале 2024 года в поле зрения сотрудников департамента Threat Intelligence экспертного центра безопасности Positive Technologies попал вредоносный семпл. Сообщество назвало его Poco RAT — по наименованию используемых библиотек POCO для C++. На момент обнаружения семпл не был атрибутирован к какой-либо известной группировке.
Исследование семпла выявило определенный набор функций для удаленного управления устройством жертвы, включая загрузку файлов, снятие скриншотов, выполнение команд, управление процессами и файлами.
Дополнительный анализ техник, тактик и процедур, цепочки атак и географии кампании позволил связать активность с группировкой Dark Caracal, известной использованием вредоносного ПО Bandook. При этом была выявлена схожесть дропперов Poco RAT и Bandook.
Обнаруженные атаки
В течение 2024 года внутренние системы киберразведки PT Expert Security Center фиксировали кампанию, направленную на корпоративные сети, с применением Poco RAT. Целевой аудиторией атаки стали испаноговорящие пользователи, что понятно по содержимому вредоносных вложений и по языку фишинговых писем, используемых для доставки вредоносного ПО (ВПО). Цепочка атаки представлена на рисунке ниже.

Жертве приходит письмо с уведомлением о необходимости оплатить квитанцию.

При анализе документов-приманок выявлены сферы, под которые злоумышленники пытаются мимикрировать для маскировки своих действий.

Во вложении содержится документ-приманка, который в большинстве случаев представлен в формате PDF (реже — HTML). Файл мимикрирует под документ от организации из вышеуказанных сфер. Программное обеспечение, задействованное для формирования PDF-файлов, включает такие инструменты, как Adobe Acrobat Pro DC и Canva.
В метаданных файлов обнаружены следующие имена авторов и пользователей (PDF:Author): trabajo, Rene Perez, Keneddy Cedeño, Mr. Pickles. Эти имена (за исключением trabajo, что в переводе с испанского — «работа») позволяют легко находить документы-приманки, связанные с группировкой.

Документы-приманки, как правило, не детектируются антивирусными решениями. Их названия содержат фразы, имитирующие финансовые взаимоотношения между жертвой и организацией, под которую маскируются злоумышленники. Такой документ характеризуется нечеткими визуальными признаками (так называемым «замыленным» оформлением), что может стимулировать интерес у пользователей с небольшим опытом взаимодействия с подобными материалами. При нажатии на файл происходит переход по ссылке — и .rev-архив автоматически скачивается с легитимных файлообменников или сетевых хранилищ, что затрудняет обнаружение и блокировку источников.
Файлы с расширением .rev создаются архиватором WinRAR и изначально предназначены для воссоздания отсутствующих и поврежденных томов в многотомном архиве. Злоумышленники применяют такие файлы в качестве контейнеров для полезной нагрузки, чтобы снизить вероятность ее обнаружения средствами защиты.

Примеры названий документов-приманок
Название документа | Перевод |
CONFIRMAR COMPROBANTE DE PAGO#00315.pdf | Подтвердить платежный документ#00315.pdf |
FACTURA Global Supply Services, C.A.pdf | Счет-фактура Global Supply Services, C.A.pdf |
FACTURACION_DIGITALIZADA Industrias salineras c.a..pdf | Оцифрованный счет-фактура Industrias Salineras, C.A..pdf |
RETENCION FALTANTE DE ABRIL solimsa.pdf | Недостающие удержания за апрель solimsa.pdf |

Для распространения вредоносных .rev-архивов группа применяет:
Сервисы хранения, такие как Google Drive, Dropbox и аналогичные платформы.
Чтобы замаскировать URL, злоумышленники используют сервисы сокращения ссылок: bit.ly, is.gd, ja.cat и Rebrandly.
CDN-хранилища.
Для каждой атаки создаются уникальные разделы с названиями организаций, под которые мимикрирует группировка, или документов. Например, .rev-архив с названием NUEVAFACTURA может быть размещен по адресу farmabienoctubre2024.b-cdn.net.
Внутри .rev-архивов содержится дроппер, название которого совпадает с названием документа-приманки: это укрепляет доверие жертвы.
Дроппер: как начинается внедрение Poco RAT
Дроппер, размещенный внутри .rev-архива, играет ключевую роль в начальной фазе атаки. Его основная задача — подготовить и запустить вредоносный компонент (Poco RAT), не оставив следов на диске. Таким образом, шансы обнаружения атаки снижаются. Дроппер реализован на Delphi, и его функциональность не изменялась с момента создания.
В течение 2024 года в полях Copyright и Product исполняемого файла злоумышленники указывали названия реальных компаний. Внося изменения в поле VersionInfo, хакеры полагались на социальную инженерию: они стремились снизить уровень подозрений пользователей, поскольку файлы с такими метаданными могут восприниматься как более безопасные. В ходе анализа были замечены названия крупных организаций: Disney, Lockheed Martin и Morgan Stanley. Мы изучили образцы дроппера и выделили компании, которые упоминались чаще всего:
Технологические компании — 49%.
Консалтинговые фирмы — 18%.
Финансовые организации — 10%.
Производственные предприятия — 10%.
Организации из сферы услуг — 7%.
Компании розничной торговли — 6%.
Действия дроппера сводятся к рефлективной загрузке и внедрению в легитимный процесс (iexplore.exe или cttune.exe) PE-модуля, находящегося в секции ресурсов в зашифрованном виде.
Сравнив дропперы Bandook и Poco RAT, мы выявили их значительное сходство. Для затруднения обнаружения и для отладки в обоих дропперах применяется динамическое разрешение API-функций операционной системы. В процессе выполнения осуществляется переход на участок кода, реализующий требуемые действия. Для этого дроппер, обращаясь к заведомо недействительному адресу памяти, инициирует исключение, обработчик которого передает управление на соответствующую функцию (ее адрес заранее сохраняется в стеке).
Все используемые строки зашифрованы алгоритмом Twofish и закодированы в Base64. В качестве ключа шифрования используется хеш-сумма Ripemd-160, рассчитанная по фиксированной строке (уникальной для каждой сборки дроппера). Пример подобного ключа: VrKA9qz1ytZwY2sFxkQ0rE1FLrVW2T9fHYQeakW2rz9sLFxq4yGiCgA1KbFwZWfohs9Of.
Аналогичным образом расшифровывается хранящаяся в секции ресурсов полезная нагрузка, однако для нее используется отдельный ключ.
Poco RAT в действии
Вредоносное программное обеспечение Poco RAT представляет собой бэкдор, позволяющий оператору работать с файловой системой, выполнять команды ОС, запускать исполняемые файлы, делать снимки экрана. Все проанализированные сборки Poco RAT упакованы с помощью UPX (Ultimate Packer for Executables, инструмента для сжатия исполняемых файлов), что сократило средний объем файла с 24 МБ до 13 МБ. Основной причиной увеличенного размера является использование POCO (https://pocoproject.org/) — набора кросс-платформенных библиотек C++ с открытым исходным кодом, предназначенных для создания сетевых и интернет-приложений.
ВПО создает отдельный поток для непрерывного мониторинга собственного состояния. Для описания статуса работы используется два состояния:
CHECKING TIME (мониторинг времени активности вредоносного ПО для анализа текущей ситуации в системе и сбора временных меток).
DISCONNECTING YOU NOW (разрыв соединения с системой жертвы, что может быть связано с завершением работы ВПО или предотвращением его обнаружения).
На следующем этапе Poco RAT определяет командный сервер (command and control, C2), с которым будет установлено соединение. После успешного подключения сервер инициирует регулярную отправку heartbeat-сообщений для проверки актуальности соединения и обеспечения непрерывной связи с вредоносным ПО. Далее Poco RAT собирает данные о системе, используя стандартный набор функций из WinAPI. Перечень данных, которые собирает и передает ВПО, включает:
имя пользователя (username);
имя компьютера (hostname);
версию операционной системы Windows;
объем свободного дискового пространства;
объем доступной физической памяти (RAM);
текущее системное время.
После сбора данных и установления соединения с C2-сервером проверяется наличие виртуальной среды. Для этого анализируется реестровый путь SOFTWARE\Oracle\VirtualBox, указывающий на VirtualBox, а также порт 0x5658, характерный для VMware. Если признаки виртуализации не обнаружены, вся собранная информация передается на командный сервер.
После завершения сбора данных ВПО формирует общий буфер с информацией. Данные структурируются и разделяются специальным символом-сепаратором — *@&). Пример структуры данных в итоговом буфере:
N35*@&)username*@&)pc_name*@&)win_ver*@&)free_disk_space*@&)ram*@&)time*@&)
В этой таблице представлен набор команд, которые может выполнять Poco RAT
Идентификатор | Описание |
T-01 | Отправить на С2-сервер собранные данные о системе. Как было описано выше, выполняется автоматически при старте ВПО |
T-02 | Получить и отправить на С2-сервер заголовок активного окна |
T-03 | Загрузить на скомпрометированный узел исполняемый файл и запустить его |
T-04 | Загрузить файл на скомпрометированный узел |
T-05 | Сделать снимок экрана и отправить его на С2-сервер |
T-06 | Выполнить заданную команду в интерпретаторе командной строки cmd.exe. Результат выполнения команды отправляется на С2-сервер |
Механизма для закрепления в системе в ВПО нет. Можно предположить, что после первоначальной разведки сервер присылает команду для закрепления либо же атакующие применяют Poco RAT как промежуточный инструмент, который доставляет основную нагрузку.
При изучении сетевой инфраструктуры кампании выявлены C2-серверы, с которыми взаимодействовали вредоносные файлы. Сканирование показало отсутствие открытых портов, работающих сервисов или привязанных доменных имен.
На протяжении года мы изучали образцы вредоносного ПО, которые связывались с указанными C2-серверами. Это позволило отслеживать, как атакующая группировка мигрировала с одного сервера на другой.
Ландшафт атак
При анализе загрузок Poco RAT в публичные песочницы выявлена географическая концентрация активности. Основными странами, из которых загружались образцы, оказались Венесуэла, Доминиканская Республика, Колумбия и Чили. Высокий уровень активности в странах Латинской Америки свидетельствует о фокусе на этом регионе.

В статистике не учтена Испания, однако стоит отметить, что на нее также приходится значительный процент атак. Это может быть связано с тем, что большинство стран, для атаки на организации в которых использовался Poco RAT, являются испаноязычными. Многие компании, оказывающие услуги на территории Латинской Америки, имеют головные офисы в Испании. Так, мы обнаружили документы-приманки, использующие символику и атрибутику венесуэльского банка BBVA Provincial, головной офис которого находится в Испании — Banco Bilbao Vizcaya. Вполне вероятно, что средства защиты в головных подразделениях компаний детектируют образцы ВПО и отправляют их в публичные песочницы. Это объясняет высокий уровень активности из указанной страны.
Атрибуция кампании, или Кто такие Dark Caracal
Dark Caracal — группировка кибернаемников, действующая с 2012 года. Она специализируется на взломах по заказу, нацеливаясь на госучреждения, военные структуры, активистов, журналистов и коммерческие организации. Основной инструмент атак — троян удаленного доступа Bandook. За годы своего существования Bandook множество раз модернизировался, при этом оставаясь универсальным средством для сложных целевых операций. Сегодня его использование строго ограничено, и единственным известным оператором трояна является Dark Caracal.

На графике видно, что распространение семплов Bandook прекращается и практически одновременно с этим начинают фиксироваться семплы Poco RAT, использующие схожую сетевую инфраструктуру. Такое совпадение может свидетельствовать о целенаправленном переходе операторов на новый инструмент.
Кампании, связанные с Bandook и Poco RAT, имеют схожие признаки. Основные совпадения включают:
использование «замыленных» документов и сервисов сокращения ссылок;
задействование легитимных сетевых хранилищ для распространения полезной нагрузки;
ориентированность атак на испаноязычные страны Латинской Америки;
применение испанского языка и тематического контекста финансовых взаимоотношений в целях маскировки файлов под документы официальных организаций.
Заключение
На основе схожести цепочек атак, функционального сходства вредоносного ПО, а также пересечений в сетевой инфраструктуре мы предполагаем, что рассматриваемая кампания является продолжением деятельности группировки Dark Caracal и отражает попытки злоумышленников адаптироваться к современным методам защиты. В результате исследования, которое проводилось в течение 8 месяцев (с июня 2024 года), выявлено 483 вредоносных семпла — значительно больше, чем количество образцов Bandook, обнаруженных в период с февраля 2023 по сентябрь 2024 года (355). Этот сдвиг может указывать на изменение тактики группировки и переход к массовым рассылкам с использованием нового инструмента. Анализ документов-приманок и сфер мимикрии позволяет предположить, что группировка является финансово мотивированной.
MITRE ATT&CK
ID | Название | Описание |
Resource Development | ||
T1608.001 | Stage Capabilities: Upload Malware | Dark Caracal использует легитимные сетевые хранилища (Dropbox, Amazon, Google Drive) для хранения ВПО |
T1583.003 | Acquire Infrastructure: Virtual Private Server | Dark Caracal арендует и конфигурирует С2-сервер VPS с Windows и RDP-интерфейсом, находящийся за пределами Латинской Америки. Предпочитаемые провайдеры: Stark Industries Solutions Ltd., AlexHost SRL |
T1588.001 | Obtain Capabilities: Malware | Dark Caracal использует облегченный RAT, созданный на основе Bandook. Приманками служат «замыленные» PDF- и HTML-документы |
Initial Access | ||
T1566.001 | Phishing: Spearphishing Attachment | Dark Caracal отправляет фишинговые письма с документом-приманкой, в котором присутствует ссылка на скачивание ВПО |
Execution | ||
T1204.002 | User Execution: Malicious File | Dark Caracal инициирует запуск Poco RAT пользователем атакуемой системы. Предлог — финансовые обязательства перед организацией, под которую мимикрирует группировка |
T1059.003 | Command and Scripting Interpreter: Windows Command Shell | Poco RAT использует командную оболочку Windows для удаленного выполнения команд |
Privilege Escalation | ||
T1055 | Process Injection | Dark Caracal внедряет вредоносный код Poco RAT в легитимные процессы Windows — cttune.exe и iexplore.exe |
Defense Evasion | ||
T1027.002 | Obfuscated Files or Information: Software Packing | Dark Caracal подвергает Poco RAT шифрованию с использованием алгоритма Twofish |
T1027.002 | Obfuscated Files or Information: Software Packing | Dark Caracal использует UPX для упаковки Poco RAT |
T1055 | Process Injection | Dark Caracal внедряет вредоносный код Poco RAT в легитимные процессы Windows — cttune.exe и iexplore.exe |
Discovery | ||
T1082 | System Information Discovery | Dark Caracal собирает подробную информацию об операционной системе и оборудовании |
Command and Control | ||
T1132.001 | Data Encoding: Standard Encoding | Dark Caracal обменивается c C2-сервером закодированной информацией о зараженной системе |
T1571 | Non-Standard Port | Dark Caracal использует нестандартные сетевые порты 6541, 6542, 6543, 6211, 6212, 6215 на стороне С2-сервера для получения информации о системе и управления зараженными узлами |
T1665 | Hide Infrastructure | Dark Caracal использует сервисы по сокращению URL, такие как bit.ly, is.gd, ja.cat и Rebrandly |
Индикаторы компрометации и обнаружение вредоносной активности «каракала» продуктами Positive Technologies, а также рекомендации по защите вы можете найти в полной версии исследования.
До новых расследований!

Денис Казаков
Специалист группы киберразведки TI-департамента экспертного центра безопасности, Positive Technologies

Сергей Самохин
Младший специалист группы исследования сложных угроз TI-департамента экспертного, центра безопасности Positive Technologies