SOS :: Security Operation Space
27 мая, понедельник, 00:00
|
Hot News:

Киберпреступники превратили TeamViewer в продвинутого шпиона

23 апреля 2019 г., вторник, 15:52

Эксперты обнаружили серию продвинутых атак, направленных на финансовых служащих и сотрудников посольств.

Эксперты Check Point обнаружили серию атак, направленных на государственных служащих сразу нескольких стран. Злоумышленники использовали вредоносные документы Excel и скомпрометированную версию TeamViewer, чтобы обеспечить себе полный доступ к компьютерам жертв.

Под удар попали сотрудники финансовых ведомств и посольств Бермудских островов, Гайаны, Кении, Италии, Либерии, Ливана и Непала. Специалисты затрудняются определить цели организаторов кампании. Пока в качестве основной версии эксперты называют хищение денежных средств. В ее пользу говорит тот факт, что все жертвы были тщательно отобраны и так или иначе имели отношение к финансовым операциям своих организаций.

Заражение происходило через вредоносный XLSM-документ, замаскированный под секретные материалы Государственного департамента США. Если при открытии файла пользователь разрешал работу макросов, из таблицы выгружался зашифрованный код для скачивания остальных компонентов — легитимной программы AutoHotkeyU32 и рабочего скрипта к ней.

Этот сценарий обращался к удаленному серверу за дополнительными модулями, которые исполнялись через ту же программу. Их функции позволяли операторам получать с зараженных машин скриншоты и системную информацию, загружать и устанавливать на компьютер TeamViewer вместе с вредоносной DLL-библиотекой. Эксперты обнаружили в ее коде изменения, которые скрывают программу от жертвы и позволяют исполнять полученные извне файлы EXE и DLL.

По неизвестным причинам на момент обнаружения атак хранилище скриншотов было доступно для просмотра. Это позволило аналитикам определить часть жертв кампании и предположить, что злоумышленники атаковали сотрудников финансовых отделов. Позже злоумышленники закрыли эту директорию.

Специалисты отследили развитие данной кампании до 2018 года, отметив при этом, что атаки могли начаться и раньше. За прошедшее время злоумышленники несколько раз меняли свою технику — например, в первых инцидентах вместо документов MS Office они использовали самораспаковывающиеся архивы. Сама вредоносная DLL-библиотека также прошла заметную эволюцию: актуальный вариант с поддержкой скриптов AutoHotKey появился только в 2019 году, а до этого преступники отправляли команды программе вручную.

Аналитики также нашли следы одного из организаторов кампании на подпольных хакерских сайтах. На этих ресурсах он обсуждал технологии, которые позже нашли применение в нынешних атаках. Некоторые куски кода из этих постов полностью совпадают с описанными выше скриптами. Эксперты также обнаружили учетную запись этого пользователя на форуме похитителей платежных данных. Это также свидетельствует о том, что целью нынешней кампании была именно кража денежных средств.

Это не первый случай применения TeamViewer киберпреступниками. В 2018 году эксперты «Лаборатории Касперского» рассказали о продвинутых атаках на российскую промышленность, от которых пострадали сотни предприятий. Организаторы той кампании использовали тщательно подготовленные фишинговые письма, чтобы заставить жертв установить ПО для удаленного доступа.

Ваш голос учтён!
нравится
не нравится Рейтинг:
2
Всего голосов: 2
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
08:15
07:15
06:15
06:15
15:53
14:33
14:15
13:15
11:15
11:15
10:15
09:15
08:15
07:15
07:15
06:15
16:35
14:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.251
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.