Повторная кибератака на российские СМИ

В конце марта мы писали об обнаружении признаков компрометации на нескольких крупных российских новостных ресурсах. Спустя три месяца после последней атаки мы видим, что злоумышленники осуществили повторную атаку на сайт одного из известных российских СМИ. Ее результатом стало размещение на сайте вредоносного кода, который перенаправляет посетителей на лендинг эксплойт-пака. По сравнению с предыдущей атакой киберпреступники значительно улучшили свой арсенал, в используемый пак входят эксплойты:

• CVE-2018-8174 для эксплуатации уязвимости в Internet Explorer
• CVE-2018-8120 для поднятия привилегий в ОС Windows

В качестве полезной нагрузки последней стадии выступает известный банковский троянец Buhtrap.

Полная цепочка эксплуатации выглядит следующим образом:

Процесс эксплуатации и запуска полезной нагрузки

Вредоносный скрипт, представленный ниже, размещен на всех страницах новостного ресурса. Более того, данный скрипт вставляется не в результате работы вредоносного рекламного скрипта, а на стороне сервера — это может означать компрометацию веб-сервера, используемого новостным агентством.

Помимо обновленного набора уязвимостей киберпреступники применили обфускацию скрипта, что затрудняет анализ и позволяет снизить детектирование со стороны некоторых защитных решений.

Внедренный вредоносный код на зараженном веб-сайте

Вредоносный код после деобфускации

Как и в прошлый раз, все домены, использованные в watering hole атаке, работают поверх HTTPS. Используются бесплатные SSL\TLS сертификаты Let’s Encrypt:

Один из использованных злоумышленниками сертификатов

Эксплойт использует недавно обнаруженную специалистами «Лаборатории Касперского» уязвимость VBScript CVE-2018-8174 для Internet Explorer.

Эксплойт для уязвимости CVE-2018-8174

При этом код эксплойта по сравнению с обнаруженным в мае эксплойтом для той же уязвимости нулевого дня остался в почти неизменном виде. Изменению подвергся лишь шеллкод, запускающий в данной версии первый этап полезной нагрузки с помощью mshta.exe.

Заключение

Стоящие за Buhtrap злоумышленники совершенствуют свой арсенал: впервые ими был применен эксплойт для «свежей» уязвимости в Internet Explorer — CVE-2018-8174. В совокупности с эксплойтом для повышения привилегий это позволяет им значительно повысить шансы на успешную доставку банковского троянца. Это особенно опасно, если учесть, что источником распространения зловреда являлся крупный российский новостной ресурс.

Подробности о первых случаях заражения Buhtrap с помощью watering hole атак доступны подписчикам сервиса Kaspersky Threat Intelligence. Контактная информация: intelreports@kaspersky.com

Защитные решения «Лаборатории Касперского» проактивно детектируют все стадии работы данного вредоносного ПО со следующими вердиктами:

• PDM:Trojan.Win32.Generic
• PDM:Exploit.Win32.Generic
• HEUR:Trojan.Win32.Generic
• Trojan-Banker.Win64.Emotet.bao
• Trojan.Win32.BuhTrap.v

IOCs

Эксплойт:
07cbb87b6fe233625c4218b24f1a169a
0476ff59ef57daab2bd8dc152e60ef2a

Полезная нагрузка:
88041e35d900b58bbfcd0baf137f7fa8
e9d2afc87245db413b2acf84ece0347e
fe9292c5cdbdf25ece7cfadbb4c7e9e6

Лендинг:
avidium[.]ru.com
slingshop[.]ru.com
khabmama[.]eu

C&C:
sibmama[.]eu
edinstvennaya[.]eu
shkolazhizni[.]eu
zhenskoe-mnenie[.]eu
allwomens[.]eu
185.158.113[.]94