Специалисты компании ESET рассказали (PDF) о новой кибершпионской кампании, нацеленной на правительственные учреждения Украины. По данным аналитиков, уже насчитывается несколько сотен жертв в разных организациях.

ESET наблюдает за деятельностью данной хакерской группы с середины 2017 года. Злоумышленники используют три основных инструмента удаленного управления (RAT):

  • Quasar RAT (Remote Administration Tool) — инструмент удаленного управления на базе открытого исходного кода, доступного на GitHub. Специалисты ESET проследили кампании с использованием Quasar до октября 2015 года.
  • Sobaken — модифицированная версия Quasar. Ее авторы отказались от части функций вредоносной программы, чтобы сделать исполняемый файл меньше, а также внедрили инструменты для обхода песочницы и другие техники, позволяющие избегать обнаружения.
  • Vermin RAT — сложный кастомный бэкдор. Впервые был замечен «в дикой природе» в середине 2016 года и в настоящее время продолжает использоваться. Как Quasar и Sobaken, он написан в .NET. Код малвари защищен от анализа с помощью коммерческой системы защиты и общедоступных инструментов. Последняя известная версия Vermin поддерживает 24 команды и несколько дополнительных, например, предусмотрена функция записи звука с микрофона зараженного устройства, кейлоггер, средство для кражи паролей, инструмент для кражи файлов с USB.

Перечисленные инструменты одновременно использовались на одних и тех же целевых объектах, они частично делят инфраструктуру и подключаются к одним и тем же управляющим серверам. Возможным объяснением использования трех параллельных модификаций является тот факт, что они разрабатывались независимо друг от друга.

Специалисты пишут, что группировка, похоже, не обладает выдающимися техническими познаниями или доступом к уязвимостям нулевого дня. Тем не менее, хакеры успешно применяют социальную инженерию для распространения малвари и скрытной работы на протяжении длительного времени. С середины 2017 года атакующие также используют стеганографию, скрывая вредоносные компоненты в изображениях на бесплатных хостингах saveshot.net и ibb.co.

Аналитикам ESET удалось отследить работу группы вплоть до октября 2015 года, но не исключено, что хакеры начали свою деятельность даже раньше.

По данным ESET, вышеупомянутое вредоносное ПО используется в атаках на украинские правительственные учреждения. На данный момент были обнаружены сотни жертв в различных организациях и несколько сотен исполняемых файлов, относящихся к данной кампании.

В основном малварь распространяется с помощью фишинговых рассылок. В большинстве случаев названия файлов-приманок написаны на украинском языке и имеют отношение к работе потенциальных жертв. Помимо социальной инженерии, атакующие также используют технические средства: сокрытие настоящих расширений файлов с помощью символа Unicode, замаскированные под архивы RAR вложения, документы Word с эксплоитом для уязвимости CVE-2017-0199.

Атакующие используют достаточно много приемов, чтобы их малварь работала только на целевых машинах. Особенно тщательно они стараются избегать автоматизированных систем анализа и песочниц. Так, перед началом работы вредоносы проверяют, установлена ли в системе русская или украинская раскладка клавиатуры. Если нет, работа немедленно прекращается. Также проверке подвергаются IP-адреса зараженных машин (через запрос к легитимному сервису Ipinfo.io/json) и производятся проверки эмуляции сетевой среды.

В конце своего отчета специалисты резюмируют, что деятельность данной хакерской группы — это прекрасный пример того, что применение самых тривиальных приемов (например, отправка RAR и ЕХЕ по электронной почте) и социальной инженерии могут быть не менее эффективны, чем атаки с использованием сложного вредоносного ПО. Подобные случаи в очередной раз подчеркивают важность защиты от человеческого фактора и необходимость обучения персонала.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    2 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии