Специалисты компании FireEye обнаружили вредоноса Hammertoss, который прикрывается обычным сетевым трафиком (в том числе Twitter и GitHub), чтобы иметь возможность подольше шпионить за намеченной жертвой из корпоративного сектора. Малварь настолько хорошо имитирует поведение живого пользователя, вплоть до соблюдения графика его работы, что обнаружить ее весьма сложно. В компании FireEye убеждены, что за Hammertoss стоит серьезная группа российских хакеров.

Хак-группа, разработавшая Hammertoss, известна специалистам с 2014 года, и они обозначают ее именем APT29 Advanced Persistent Threat 29). Цели, которые группа выбирает для атак, а также тот факт, что ее малварь явно заточена под московский часовой пояс и российский график праздников, намекают, что группа тоже российская.
С целью затруднить обнаружение своего нового вредоноса, хакеры научили его виртуозно скрываться за обыкновенным сетевым трафиком.

Впервые Hammertoss заметили вначале текущего года, тогда вредонос использовал два бекдора, для проникновения в систему жертвы и, казалось, что он используется больше для прикрытия, чтобы «держать дверь открытой». С тех пор поведение малвари сильно изменилось.

APT29 задействовали сразу несколько известных методик, чтобы лучше скрыть вредоноса. Так Hammertoss отсылает совершенно легитимные, неподозрительные запросы социальным сетям, ежедневно посещает разные страницы в Twitter, что особенно забавно, в свете того, что APT29 создают сотни Twitter-аккаунтов, и совсем не для хороших целей. Вредонос также использует скомпрометированные веб-серверы для C&C (если почему-то не может зайти на GitHub или в Twitter), и даже работает строго по тому же графику, что и реальный пользователь, ставший жертвой заражения.

Хуже того, Hammertoss «дружит» со стеганографией и может получать команды через обычные картинки, размещенные в сети (к примеру, на GitHub), не требующие никакой распаковки и исполнения.

Большую часть времени вредонос ведет себя тише воды, ниже травы, лишь изредка отправляя украденные у жертвы данные в облачное хранилище.

Специалисты FireEye отмечают, что хакеры не применяли никаких новых, доселе невиданных трюков, но, тем не менее, такого сложного и хитрого использования уже известных техник, на таком уровне, в FireEye еще не встречали.

Фото: Colin



7 комментариев

  1. sl@rx

    30.07.2015 at 19:36

    «В компании FireEye убеждены, что за Hammertoss стоит серьезная группа российских хакеров.»
    > серьезная группа
    >> российских хакеров
    Когда группа русских хакеров были не серьёзными?
    Да даже, хотя бы 1 русский хакер, уже помоему серьёзней некуда. Вспомнить того же «кобана» и что творилось в середине нулевых по всему миру.

  2. saint_byte

    31.07.2015 at 16:53

    гыгы ,… Скоро найдутся вирусы которые банально внедряются в рабочие приложухи , или типа прокси-компонента в хром

  3. Андрей

    08.09.2015 at 19:49

    Ага. Конечно. Доказательств поводу происхождения вируса как всегда нет? Раньше были в моде страшилки о китайских хакерах, сегодня о российских?

  4. Kismet

    10.09.2015 at 14:59

    А кто стикеры заражает в Viber

Оставить мнение