Исследователи «Лаборатории Касперского» обнаружили многочисленные попытки заражения иностранных дипломатических структур в Иране шпионским вредоносным ПО, созданным непрофессионально.
По данным экспертов, атаки проводятся с использованием обновленной версии бэкдора Remexi, а также некоторых легитимных инструментов. Данный бэкдор предположительно связан с киберпреступной группой, которую эксперты Symantec называют Chafer, говорящей на фарси. Ранее группировка была замечена в слежке за различными людьми на Ближнем Востоке.
Отмечается, что в развивающихся регионах злоумышленники часто проводят вредоносные кампании, применяя относительно простую, самодельную малварь в сочетании с общедоступными инструментами. В данном случае преступники использовали улучшенную версию бэкдора Remexi, предназначенного для удаленного администрирования компьютера жертвы.
Написанный на C бэкдор Remexi был впервые обнаружен еще в 2015 году, когда он использовался Chafer для незаконной слежки за отдельными лицами и рядом организаций по всему Ближнему Востоку. И малварь, применяемая в новой кампании, имеет сходство с известными образцами Remexi, утверждают исследователи.
Данный вредонос может выполнять удаленные команды, перехватывать скриншоты, данные из браузера (включая учетные данные пользователя), данные авторизации и историю, а также любой набранный жертвой текст. Украденные сведения извлекаются с зараженной машины с помощью легитимного приложения Microsoft Background Intelligent Transfer Service (BITS) – компонента Windows, предназначенного для включения фоновых обновлений. Объединение вредоносного ПО с легитимным кодом помогает злоумышленникам экономить время и ресурсы и усложнять атрибуцию.
«Часто за кампаниями по кибершпионажу стоят высококвалифицированные люди. Анализируя такие инциденты, можно увидеть достаточно продвинутые техники и сложные инструменты. В этом случае злоумышленники используют достаточно простое вредоносное ПО. Безусловно, создано оно самостоятельно, и программисты у них есть. Однако, помимо этих разработок, они “творчески” используют уже существующие легитимные приложения, а не стремятся к сложной самостоятельной разработке. Не нужно считать их любителями, этот подход имеет с точки зрения злоумышленников свои преимущества (скорость разработки, сложность атрибуции), и подобные атаки вполне способны нанести значительный ущерб. Мы призываем организации защищать ценную информацию и системы ото всех видов угроз», – подчеркнул Денис Легезо, антивирусный эксперт «Лаборатории Касперского».
