Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Авторы текущей кампании используют вредоносные документы Microsoft Office с макросом для установки бэкдора.
Последние несколько недель исследователи из Check Point наблюдают подозрительную активность, направленную против российских организаций. Атаки носят скоординированный характер, а используемые при этом тактические приемы, техники и инструменты указывают на Lazarus — APT-группу, предположительно имеющую северокорейские корни.
На прошлой неделе была также зафиксирована похожая киберкампания в Южной Корее, однако анализ показал, что тактика, инструментарий и способы проведения этих атак совсем другие. В Check Point предположили, что совпавшие по времени операции проводят две подгруппы Lazarus, известные в ИБ-сообществе как Andariel и Bluenoroff. Первая сфокусирована на южно-корейских организациях и правительственных структурах, вторая действует шире, притом стремится извлечь из атак финансовую выгоду.
В ходе текущей кампании эксперты обнаружили множество вредоносных документов Microsoft Office, созданных как приманки для российских компаний разного профиля. Все они содержат одинаковые метаданные (имя автора — home, язык кодовой страницы — корейский) и были загружены на VirusTotal из России в конце января.
Цепочка заражения начинается с распаковки ZIP-файла, содержащего два документа: маскировочный PDF и вредоносный Word или Excel с макросом — пользователя убеждают включить его с помощью изображения с нечитаемым текстом. Если уловка сработала, с Dropbox загружается VBS-скрипт; он в свою очередь скачивает с удаленного сервера CAB-файл, замаскированный под JPEG-картинку, а затем, используя Windows-утилиту expand.exe, извлекает целевую нагрузку — бэкдор.
Исследователи также отметили, что в какой-то момент атакующие решили отказаться от второй ступени заражения и внесли соответствующие коррективы в свой макрос.
Устанавливаемый в результате атаки многофункциональный бэкдор уже известен ИБ-сообществу. Эксперты американской Группы быстрого реагирования на киберинциденты (US-CERT) называют его KEYMARBLE. По сути это инструмент удаленного администрирования, который в данном случае помогает оператору получить информацию с зараженной машины. После запуска он пытается установить соединение в C&C-сервером на порту 443, используя вшитый в код IP-адрес (194[.]45[.]8[.]41).
В режиме ожидания зловред повторяет попытки подключения каждые полчаса. Получив команду, он выходит из цикла и приступает к ее выполнению — сбору и отправке данных, завершению процессов, перезаписи и удалению файлов и т. п.
Примечательно, что для коммуникаций данный вариант KEYMARBLE использует SSL, а команды ему подаются в два приема: вначале высылается сообщение с указанием длины данных, затем — код команды.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |