Эксперты Palo Alto Networks рассказали об обнаружении необычной вредоносной кампании и модульного трояна Dimnie, который успешно избегал внимания со стороны ИБ-специалистов целых три года. Мишенями для атак в данном случае являлись разработчики, использующие GitHub, которые и сами заметили вредоносную кампанию еще в январе 2017 года и поспешили предупредить об этом других.

Атака начиналась с хорошо продуманного фишингового письма, которое получал разработчик. Чаще всего такие послания были замаскированы под рекрутинговые предложения. Переведенные на русский язык примеры таких писем представлены ниже.

«Привет. Я нашел ваш софт в онлайне. Не могли бы вы поработать над кодом для моего проекта? Техническое задание прилагаю ниже.
Если вы согласитесь, обсудим оплату. Ответьте, пожалуйста».

«Здравствуйте,

Меня зовут Адам Бачбайндер, я видел ваш репозиторий на GitHb и был очень впечатлен.
Дело в том, что сейчас в моей компании открыта вакансия и, похоже, вы хорошо подойдете на эту должность.

Пожалуйста, посмотрите вложение, оно содержит подробности о компании и самой работе.
Не стесняйтесь связываться со мной напрямую, мой email выделен внизу документа.

С уважением,
Адам».

Исследователи Palo Alto Networks пишут, что во вложениях жертвам присылали архив, который содержал документ Word с вредоносными макросами. Если выполнение макросов было разрешено (или пользователь разрешал его вручную), в действие приводилась цепочка PowerShell-команд, запускавшая скачивание трояна Dimnie.

По словам исследователей, новая версия Dimnie их удивила. Дело в том, что технически о малвари было известно давно, некоторые образцы трояна вообще датированы 2014 годом. Dimnie считали загрузчиком, обладавшим рядом шпионских модулей. Однако на Западе об этом трояне мало кто слышал, так как раньше Dimnie атаковал исключительно российских пользователей. Тем не менее, его можно обнаружить в базах антивирусных сигнатур с 2015 года.

Теперь Dimnie научился не только скрывать вредоносный трафик за сонмом поддельных доменов и DNS-запросами, также он «оброс» множеством новых модулей, работа которых происходит исключительно в памяти, то есть они не оставляют следов на жестком диске устройства.

Специалисты пишут, что новые модули Dimnie способны собирать самые разные данные о зараженных хостах, перехватывать нажатия клавиш, взаимодействовать со смарткартами, делать снимки рабочего стола, осуществлять инъекции вредоносного кода в процессы практически любых приложений и тайно передавать всю собранную информацию на управляющий сервер злоумышленников. К примеру, троян использует запросы HTTP GET Proxy, создавая видимость того, что обращается к неработающему адресу toolbarqueries.google.com, тогда как на самом деле обращение происходит к адресу 176.9.81.4, не имеющему никакого отношения к Google.

Так как вредонос использует «бесфайловые» (fileless) атаки и очень тщательно маскирует свой трафик, исследователи не смогли установить, когда была разработана новая версия, и когда начались атаки. Теоретически, кампания могла длиться куда дольше нескольких месяцев. Кроме того, именно поэтому вредонос оставался практически незамеченным на протяжении стольких лет. Специалисты предполагают, что со временем может стать известно о других вредоносных кампаниях, использовавших Dimnie.

Согласно теории исследователей, целью операторов этой вредоносной кампании являлась компрометация крупных организаций. Дело в том, что многие разработчики, использующие GitHub, пишут код не просто в свободное время, но и на работе занимаются тем же. Заражая личные компьютеры разработчиков, хакеры могли рассчитывать на получение доступа к внутренним сетям организаций, в которых работают жертвы. Более того, у многих разработчиков есть доступ к приватным GitHub-репозиториям компании, что могло стать для преступников настоящей золотой жилой. Ведь чужой проприетарный код и интеллектуальная собственность высоко ценятся на черном рынке, а конкуренты могут заплатить за такую информацию очень щедро.



Оставить мнение