Хакер #305. Многошаговые SQL-инъекции
Исследователи компаний T&T Security и АО «Национальный инфокоммуникационный Холдинг “Зерде”» обнаружили, что на сайте электронного правительства Казахстана (egov.kz) уже более пяти месяцев размещаются документы, зараженные малварью Razy.
Эксперты пишут, что нашли как минимум два таких документа, расположенные по адресам:
- hxxps://legalacts.egov[.]kz/application/downloadnpa?id=5322314
- hxxps://budget.egov[.]kz/budgetfile/file?fileId=1520392
«Мы предполагаем, что злоумышленники получили доступ к загрузке файлов на сайт legalacts.egov.kz и budget.egov.kz опубликовали под видом офисных документов вредоносное программное обеспечение. Первый документ представляет собой постановление районного акимата. Второй документ представляет собой финансовую сводку по бюджету акимата. Поскольку второй документ был создан в январе 2021 года, значит размещение ВПО Razy на портал произошло в 2021 году», — говорят исследователи.
В отчете предполагается, что эта атака была нацелена на конкретные организации, которые могли использовать вышеупомянутые документы, то есть злоумышленники не пытались массово атаковать граждан Казахстана, а общедоступность документов, вероятно, была лишь побочным эффектом.
Аналитики отмечают, что злоумышленники часто распространяют Razy, используя так называемые watering hole атаки. Такие атаки названы по аналогии с тактикой хищников, которые охотятся у водопоя, поджидая добычу — животных, пришедших напиться. То есть злоумышленники размещают малварь на каких-либо ресурсах, которые посещают намеченные ими жертвы.
Образцы семейства Razy, изученные специалистами, представляют собой обычный троян-загрузчик, который маскируется под офисные документы. В видео T&T Security демонстрирует, как при загрузке файлов пользователей побуждают запустить EXE-файл перед открытием запрошенного документа.
Razy активен примерно с 2015 года, но используется для атак по сей день. Его основная активность сосредоточена вокруг извлечения финансовой выгоды для своих операторов. Так, малварь ворует учетные данные из браузеров жертв и захватывает контроль над буфером обмена, чтобы подменять попадающие в него адресов криптовалютных кошельков.
Интересно, что эксперты компании ESET полагают, что обнаруженные документы не были частью какой-то таргетированной атаки. По их мнению, кто-то из госслужащих попросту заразился Razy, а малварь использовала компонент FakeDoc, который применяется для дальнейшего распространения. Он заразил другие документы, хранящиеся на машинах пострадавших, а затем эти файлы были загружены на официальный портал eGov.kz.