SOS :: Security Operation Space
19 июня, вторник, 00:00
|
Hot News:

Шпионская кампания накрыла волной российские сервис-центры

11 июня 2018 г., понедельник, 13:07

Злоумышленники шпионили за центрами обслуживания с помощью легитимного инструмента удаленного администрирования.

Недавно стало известно о серии целевых шпионских атак. Жертвами стали организации, занимающиеся поддержкой и обслуживанием различных электронных устройств.

Для загрузки вредоносного кода злоумышленники использовали коммерческую версию Imminent Monitor, программы для удаленного администрирования. Сейчас она находится в свободном доступе и считается надежной, любой может ее приобрести. Разработчики Imminent Monitor ясно обозначили, что их инструмент запрещено использовать в незаконных целях. Само собой, для кого-то это заявление — пустой звук.

Длинная и запутанная «убийственная цепочка»

Лаборатория FortiGuard проанализировала обнаруженную кампанию и опубликовала свое исследование. Специалисты отмечают, что атаки новоявленных шпионов не были выстрелом в небо — злоумышленники организовали направленную многоступенчатую кампанию, используя весь имеющийся арсенал кибероружия: ложные электронные адреса, зараженные документы Microsoft Office и всевозможные методы распаковки. В «умелых» руках легитимный инструмент для удаленного администрирования стал основной платформой для запуска кибератак.

В начале были письма: кибершпионы, выдавая себя за представителей Samsung, отправляли российским сервисным центрам компании вредоносные электронные сообщения. Во вложении находился XLS-документ со стандартным соглашением об именовании, которое обычно использует корейская корпорация.

Исследователи FortiGuard замечают, что заражать исполняемые файлы — прошлый век для киберкриминального мира. Сейчас пользователи значительно больше подкованы в области интернет-безопасности, чем несколько лет назад. Поэтому мошенники все чаще предпочитают использовать уязвимости в ПО.

В этой кампании злоумышленники милитаризировали электронные таблицы при помощи уязвимости CVE-2017-11882. Брешь не так давно была обнаружена в офисном приложении Microsoft, которому уже более 17 лет. Это Equation Editor (eqnedt32.exe) — компонент для вставки математических вычислений в документы. Несмотря на явные недостатки, инструмент еще поддерживается производителем в целях сохранения совместимости. В прошлом году Microsoft выпустила для него патч, призванный устранить баг, которым пользовались кибершпионы.

Для нападения злоумышленники внедряли в приложение шелл-код, с помощью которого получали доступ к каталогу kernel32.dll на компьютере жертвы и определяли адреса двух основных функций — LoadLibraryA и GetProcAddress — а затем и других полезных для атаки вещей. В частности, преступники обеспечивали себе возможность задавать точное расположение полезной нагрузки, которое может меняться в зависимости от платформы. После всех этих манипуляций скрипт оболочки загружал вредоносный код с помощью Imminent Monitor и пытался его выполнить.

Зловред находился под защитой нескольких протекторов. Один из них — упаковщик ConfuserEx, который помогал обфусцировать имена объектов, методов и ресурсов, используемых при атаке. Второй — фреймворк BootstrapCS. Он применялся для защиты от анализа. Для финальной распаковки инструмента удаленного администрирования файл использовал библиотеку lzma.dll из 7ZIP-архива.

В итоге преступники могли просматривать записи видео с веб-камеры или получали доступ к файлам на компьютере жертвы.

Не новички в этом деле

Доподлинно неизвестно, кто организовал шпионскую кампанию. Согласно результатам анализа FortiGuard, источник атак находится за пределами страны. Исследователи лаборатории утверждают, что письма, приходившие с ложных адресов, были написаны не носителем русского языка — текст как будто бы прогнали через систему автоматического перевода. К тому же IP-адрес отправителя не связан с доменом его электронной почты.

В ходе анализа серверов С2 FortiGuard выяснила, что таким же образом было зарегистрировано около 50 доменов и некоторые из них замешаны в распространении зловредов и фишинговых атаках. Специалисты лаборатории также изучили вредоносные таблицы и обнаружили некоторые совпадения с шаблонами из своей базы. На основании всей этой информации исследователи предполагают, что организаторы кампании — ветераны кибершпионажа.

Ваш голос учтён!
нравится
не нравится Рейтинг:
1
Всего голосов: 1
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
18:39
16:44
14:29
17:33
15:34
15:15
15:07
14:28
14:14
14:01
13:55
07:30
06:30
16:04
15:55
15:27
15:02
14:23


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.053
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.