Введение
Хотя программы-шифровальщики остаются серьезной угрозой, о которой мы продолжаем рассказывать в рамках сервиса информирования о crimeware, мы расследуем и описываем и другие угрозы. Так, в последнее время мы рассматривали различные методы заражения, в том числе использование вредоносной рекламы и т. д. В этой статье мы приводим выдержки из недавних отчетов, посвященных необычным методам заражения, и описываем соответствующее вредоносное программное обеспечение.
Если у вас возникли вопросы или вы хотите получить дополнительную информацию о нашем сервисе информирования о киберугрозах, пишите по адресу crimewareintel@kaspersky.com.
RapperBot: «умный подбор паролей»
RapperBot на базе Mirai (но с другим протоколом связи с командным серверам) – это червь, которым злоумышленники заражают устройства интернета вещей, чтобы проводить DDoS-атаки на цели, использующие протоколы, отличные от HTTP. Первый образец, обнаруженный в июне 2022 года, атаковал SSH-сервисы. Telnet-сервисы на тот момент оставались вне зоны интереса злоумышленников. Однако из последней версии была удалена функциональность, связанная с SSH, и теперь бот атакует только Telnet-сервисы – причем с ощутимым успехом. В четвертом квартале 2022 года мы зафиксировали 112 тысяч попыток заражения RapperBot с более чем двух тысяч уникальных IP-адресов.
От других червей RapperBot отличается «умным» подходом к подбору паролей. Он анализирует запрос авторизационных данных, который устройство отправляет при попытке подключения, чтобы определить тип атакуемого устройства, и в зависимости от результата подбирает подходящие учетные данные.
Затем RapperBot определяет архитектуру процессора и заражает устройство. Для загрузки самого зловреда используется множество различных команд (например, wget, curl, tftp и ftpget). Если по какой-то причине они не срабатывают, загрузчик зловреда скачивается на устройство с помощью shell-команд echo.
Rhadamanthys: вредоносная реклама на веб-сайтах и в поисковых системах
Rhadamanthys – новый зловред для кражи данных, впервые представленный на русскоязычном киберпреступном форуме в сентябре 2022 года. Авторы предлагали приобрести его по схеме «вредоносное ПО как услуга» (MaaS). Согласно описанию, стилер:
- Написан на C/C++, а его командный сервер – на Golang.
- Может заражать целевую машину «незаметно».
- Может красть (собирать) информацию о типе ЦП, разрешении экрана, поддерживаемых кошельках и т. п.
- Обходит решения для защиты рабочих мест и антивирусы.
- Обменивается данными с командным сервером в зашифрованном виде.
Несмотря на то что реклама зловреда появилась на форуме в сентябре 2022 года, мы увидели первые образцы только в начале 2023 года. Изначально для распространения Rhadamanthys использовались фишинг и спам, однако в последнее время он стал проникать на целевые компьютеры через вредоносную рекламу.
Рекламные платформы проводят среди рекламодателей своеобразные аукционы: заказчики предлагают лучшую цену за показ коротких объявлений в поисковой выдаче (например, Google), на веб-сайтах, в мобильных приложениях и т. д. Для распространения Rhadamanthys используется реклама и в поисковых системах, и на сайтах. Злоумышленники демонстрируют рекламу легитимных приложений, но ссылки в ней ведут на фишинговые веб-сайты. На них выложены вредоносные установочные файлы. Ничего не подозревающие пользователи скачивают их и устанавливают на свои устройства.
Анализ Rhadamanthys выявил множество совпадений с майнером Hidden Bee. В обоих образцах используются изображения для сокрытия полезной нагрузки и похожие шелл-коды для инициализации. Кроме того, в обоих используются виртуальные файловые системы с хранением данных в оперативной памяти и язык Lua для загрузки плагинов и модулей.
Сравнение модулей prepare.bin в Rhadamantys и preload в Hidden Bee
CUEMiner: распространение через BitTorrent и OneDrive
В августе 2021 года на GitHub был запущен проект SilentCryptoMiner. В него входил сам майнер, состоящий из загрузчика и полезной нагрузки, исходный код бота, скомпилированный билдер и дополнительные программы, такие как инструмент мониторинга системы. Проект постоянно обновлялся, последнее обновление было опубликовано 31 октября 2022 года. Среди киберпреступников репозиторий проекта приобрел большую популярность. Об этом мы можем судить по огромному количеству обнаруженных образцов, различающихся незначительными модификациями, URL-адресами, техниками, тактиками и процедурами. Очевидно, что разные группы одновременно использовали этот майнер.
В ходе расследования мы отметили два метода распространения майнера. Первый – через троянизированное взломанное ПО, загружаемое с BitTorrent. Второй – через троянизированное взломанное ПО, загружаемое с сервиса для обмена файлами OneDrive. Как жертв заставляют скачать эти взломанные пакеты, пока непонятно, так как мы не обнаружили прямых ссылок. Однако на многих сайтах, распространяющих взломанное ПО, нельзя сразу получить ссылку для загрузки. Вместо этого на них размещается ссылка на каналы Discord для дальнейшего обсуждения. Это позволяет предположить, что злоумышленники напрямую взаимодействуют с жертвами и используют методы социальной инженерии.
Загрузчик, названный CUEMiner, написан на .NET, но для его доставки используется дроппер на C++. Загрузчик подключается к нескольким URL-адресам (которые отличаются в разных образцах) для загрузки майнера и получения конфигурационных данных. Он также выполняет ряд проверок, чтобы подтвердить, что запущен на физическом компьютере, а не на виртуальной машине. Если все проверки проходят успешно, зловред выполняет следующие действия:
- Изменяет конфигурацию Защитника Windows, чтобы исключить из сканирования путь к пользовательской папке и весь системный диск.
- Получает информацию о конфигурации с определенного URL-адреса и сохраняет ее в различных директориях (например, c:\logs.uce, %localappdata%\logs.uce).
- Создает пустые файлы и вложенные папки в папке %ProgramData%\HostData, чтобы она не вызывала подозрений.
- Загружает майнер и инструмент мониторинга.
- Выполняет ряд других действий. Их полный список вы можете найти в нашем закрытом отчете.
Инструмент мониторинга, как это видно из названия, отвечает за мониторинг системы. Если он не обнаруживает процессов, потребляющих много системных ресурсов (таких как игры), начинает работать майнер. Если запускается игра или другой ресурсоемкий процесс, майнер прекращает работу и возобновляет только после остановки процесса. Это позволяет ему дольше оставаться незамеченным.
Заключение
Вредоносное ПО с открытым исходным кодом часто используют не самые опытные киберпреступники. Им не хватает нужных технических навыков и связей для проведения масштабных кампаний. Однако, как показывает огромное количество найденных нами образцов CUEMiner, их атаки могут быть успешными. По мере приобретения новых навыков, например в области программирования и кибербезопасности, такие киберпреступники начинают повторно использовать и улучшать ключевые фрагменты вредоносного кода из открытых источников.
Злоумышленники часто повторно используют или переименовывают чужой код. Существует множество вариантов шифровальщиков, названия которых меняются со временем, но кодовая база остается той же. В других случаях киберпреступники повторно используют фрагменты кода в новых кампаниях. Например, код стилера Rhadamantys частично совпадает с кодом майнера Hidden Bee. Можно предположить, что по крайней мере один участник кампании Rhadamantys участвовал и в разработке Hidden Bee.
Отчеты об угрозах помогают защитить себя от таких атак. Если вы хотите получать свежую информацию о новейших тактиках, методах и процедурах злоумышленников или задать вопрос о наших приватных отчетах, пишите по адресу crimewareintel@kaspersky.com.
Необычные методы заражения. Часть 2