На протяжении последнего времени троян Sykipot неоднократно атаковал компьютеры различных компаний, большинство из которых принадлежало к оборонной промышленности. Основная цель трояна — похищение интеллектуальной собственности (чертежи, бизнес-планы, техническая документация) и передача на удалённый сервер. Для проникновения на компьютеры пользователей троян использует уязвимости нулевого дня — в частности, 1 декабря была проведена масштабная атака, использующая такую уязвимость в Adobe Reader и Acrobat.

Каждой атаке Sykipot присваивался уникальный цифровой код, состоящий из нескольких букв и даты нападения, который записывался в тело самого трояна. В некоторых случаях ключевое слово, предшествующее цифрам, представляло собой название папки поддомена использующего ее сервера. Компании Symantec удалось добыть список таких идентификаторов, вот некоторые из них.

alt20111215
auto20110413
auto20110420
be20111010
webmail20111122
world20111205

Такие маркеры вирусных атак позволяют злоумышленникам отслеживать атаки на разные фирмы и организации.

Вирусописатели также оставили дополнительные метки, которые позволяют понять, какой сервер используется в качестве промежуточного при внедрении нового исполняемого файла на компьютер жертвы. Кроме того, по словам экспертов Symantec, они могут с уверенностью подтвердить тот факт, что, помимо этого, этот же сервер на определённом этапе также использовался как сервер управления (C&C). Сам сервер располагается в Пекине и принадлежит одному из крупнейших китайских провайдеров. Более того, одна из атак была совершена из китайской провинции Чжэцзян (Zhejiang). За последние пару месяцев на сервере располагались более чем сотня вредоносных файлов, многих из которых использовались в атаках Sykipot.

Многие файлы представляют собой заражённые исполняемые pdf-файлы, содержащие вредоносный код, запускающий Sykipot. Там же можно найти и утилиты, используемые уже после внедрения первого вредоноса, например, gsecdump, которая делает дамп паролей, хранящихся у пользователя. Специалистам также попались на глаза шаблоны Microsoft Office, эксплуатирующие уязвимость, связанную с переполнением стека при работе с RTF (BID 44652). Многие из этих файлов не генерируются прямо в системе, а создаются где-то еще, а только потом копируются. Обычно источниками их появления служат FTP и внешние носители.

Файлы могли также попасть на компьютер после того, как пользователи запускали один из популярных в Азии IM-клиентов. Отследить с его помощью, кто именно раздавал вредоносное ПО, не удалось.

Наконец, Symantec стали известны некоторые домены, связанные с трояном Sykipot:

altchksrv.hostdefence.net
data.wilsoncallcenter.com
help.newcarstyle.com
info.capestonecounty.com
info.facebook-support.org
info.wilsoncallcenter.com
live.tech-att.com
mail.sixnationtalk.com
service.1inkedin.net
bodyshowworld.com
capestonecounty.com
welldone123.net
yahoo-security-center.vicp.net

Некоторые из них использовались при атаках, но многие зарегистрированы просто для того, что быть частью инфраструктуры Sykipot. В нескольких случаях были замечены рассылки вредоносных писем с сервера на одном хостинге с упомянутым C&C доменом. Для таких случаев системные администраторы должны воспользоваться предоставленной информацией, чтобы отслеживать действия злоумышленников.

Как отмечают специалисты Symantec, у Sykipot долгая история разнообразных атак, а также очевидные китайские корни. Группа вирусописателей постоянно совершенствует свое вредоносное детище, «натасканное» против антивирусов и постоянно осваивающее новые уязвимости. В силу всего этого, делают вывод они, мы еще не раз услышим о Sykipot в будущем.



Оставить мнение