Специалисты компании FireEye обнаружили вредоноса Hammertoss, который прикрывается обычным сетевым трафиком (в том числе Twitter и GitHub), чтобы иметь возможность подольше шпионить за намеченной жертвой из корпоративного сектора. Малварь настолько хорошо имитирует поведение живого пользователя, вплоть до соблюдения графика его работы, что обнаружить ее весьма сложно. В компании FireEye убеждены, что за Hammertoss стоит серьезная группа российских хакеров.
Хак-группа, разработавшая Hammertoss, известна специалистам с 2014 года, и они обозначают ее именем APT29 Advanced Persistent Threat 29). Цели, которые группа выбирает для атак, а также тот факт, что ее малварь явно заточена под московский часовой пояс и российский график праздников, намекают, что группа тоже российская.
С целью затруднить обнаружение своего нового вредоноса, хакеры научили его виртуозно скрываться за обыкновенным сетевым трафиком.
Впервые Hammertoss заметили вначале текущего года, тогда вредонос использовал два бекдора, для проникновения в систему жертвы и, казалось, что он используется больше для прикрытия, чтобы «держать дверь открытой». С тех пор поведение малвари сильно изменилось.
APT29 задействовали сразу несколько известных методик, чтобы лучше скрыть вредоноса. Так Hammertoss отсылает совершенно легитимные, неподозрительные запросы социальным сетям, ежедневно посещает разные страницы в Twitter, что особенно забавно, в свете того, что APT29 создают сотни Twitter-аккаунтов, и совсем не для хороших целей. Вредонос также использует скомпрометированные веб-серверы для C&C (если почему-то не может зайти на GitHub или в Twitter), и даже работает строго по тому же графику, что и реальный пользователь, ставший жертвой заражения.
Хуже того, Hammertoss «дружит» со стеганографией и может получать команды через обычные картинки, размещенные в сети (к примеру, на GitHub), не требующие никакой распаковки и исполнения.
Большую часть времени вредонос ведет себя тише воды, ниже травы, лишь изредка отправляя украденные у жертвы данные в облачное хранилище.
Специалисты FireEye отмечают, что хакеры не применяли никаких новых, доселе невиданных трюков, но, тем не менее, такого сложного и хитрого использования уже известных техник, на таком уровне, в FireEye еще не встречали.
Фото: Colin