Специалисты Palo Alto Networks выявили таргетированные атаки на российские организации. Для этого вредонос AcidBox использовал эксплоит, который ранее связывали с русскоязычной хакерской группой Turla (она же Waterbug, Venomous Bear и KRYPTON).
В частности Turla известна тем, что была первой хак-группой, которая злоупотребляла драйвером стороннего устройства для отключения Driver Signature Enforcement (DSE) — защитной функции, появившейся в Windows Vista для предотвращения загрузки неподписанных драйверов.
Проблема CVE-2008-3431, которую эксплуатировала Turla, использовала подписанный драйвер VirtualBox (VBoxDrv.sys v1.6.2) для деактивации DSE и загрузки неподписанных драйверов-пейлоадов. Но эксплоит группировки, по сути, использовал две уязвимости, тогда как лишь одна из них была устранена. Существовала и вторая версия эксплоита, ориентированная на использование только этой неизвестной уязвимости.
Теперь аналитики Palo Alto Networks пишут, что с 2017 года неизвестные хакеры, явно несвязанные с Turla, используют ту же исправленную проблему, для эксплуатации новых версий драйвера VBoxDrv.sys.
Так, в 2017 году злоумышленники атаковали как минимум две российские организации, используя драйвер версии 2.2.0 (вероятно потому, что ранее эта версия не считалась уязвимой). Таким образом атакующие разворачивали ранее неизвестное экспертам семейство малвари, которое получило название AcidBox.
AcidBox использует некую форму стеганографии и прячет конфиденциальные данные в иконках, злоупотребляет интерфейсом SSP, чтобы надежно закрепиться в системе, хранит свою полезную нагрузку в реестре Windows и не демонстрирует каких-то явных параллелей с другой известной малварью (хоть и имеет небольшое сходство с Remsec).
«Поскольку других жертв обнаружено не было, мы полагаем, что это очень редкое вредоносное ПО, используемое только в целевых атаках», — пишут эксперты.
Аналитики подчеркивают, что AcidBox определенно входит в состав большого набора инструментов, вероятно, принадлежащих некой APT, и может использоваться до сих пор, при условии, что сама хак-группа по-прежнему активна. Вместе с другими ИБ-специалистами исследователи Palo Alto Networks смогли выявить три usermode-образца малвари (64-разрядные DLL, которые загружают main worker’а из реестра Windows) и kernelmode пейлоад-драйвер (который встроен в main worker’а).
Все образчики были скомпилированы 9 мая 2017 года и, скорее всего, использовались в рамках вредоносной кампании в том же году. Более новые образцы обнаружить не удалось, и пока неясно, активна ли эта хак-группа в настоящее время.
К сожалению, эксперты Palo Alto Networks не смогли идентифицировать инструментарий, частью которого является AcidBox, но все же поделились двумя правилами YARA для обнаружения данной угрозы, а также Python-скриптом, который поможет извлечь конфиденциальные данные из иконок.
