Авторы
На днях компания FireEye сообщила, что ряды киберпреступников, применяющих недавно обнаруженный эксплойт CVE-2013-3906, пополнились новыми злоумышленниками. Их зараженные документы имеют много общего с теми, что использовались ранее, однако у них иная полезная нагрузка. На этот раз, по сведениям FireEye, эксплойты применяются для доставки бэкдоров Taidoor и PlugX.
Кроме того, эксперты «Лаборатории Касперского» обнаружили, что еще одна группировка, специализирующаяся на целевых атаках, совсем недавно начала распространять вредоносные документы MS Word, содержащие эксплойт для уязвимости CVE-2013-3906. Это группа Winnti, о которой мы подробно писали здесь. Группа осуществляла целевые фишинговые рассылки электронных писем с вложенным документом, содержащим эксплойт. Как обычно для злоумышленников группы Winnti, они используют этот метод для доставки вредоносного ПО первой стадии – PlugX.
Мы обнаружили очередную атаку на игровую компанию, которая вот уже на протяжение 2-х лет постоянно подвергается атакам со стороны группы Winnti. Документ MS Word, содержащий эксплойт, демонстрирует то же запускающее эксплуатацию уязвимости «изображение» в формате TIFF – 7dd89c99ed7cec0ebc4afa8cd010f1f1, – что и в атаках Hangover. Если попытка эксплуатировать уязвимость оказывается успешной, то с удаленного узла по URL: hxxp://211.78.90.113/music/cover/as/update.exe, происходит загрузка бэкдора PlugX.
Судя по PE-заголовку, этот образец PlugX скомпилирован 4 ноября 2013 г. Реализующая функционал PlugX внутренняя динамическая библиотека, которая расшифровывается и размещается в памяти в процессе выполнения вредоносной программы, создана немного раньше – 30 октября 2013 г. С точки зрения ветвей разработки загружаемая версия PlugX несколько отличается от обычного PlugX, но имеет тот же тип, что версия, обнаруженная FireEye, – та, в которой вредоносная программа отсылает на центр управления HTTP POST пакеты, в которые добавлены заметные дополнительные заголовки:
| FireEye sample POST / Accept: */* FZLK1: 0 FZLK2: 0 FZLK3: 61456 FZLK4: 1 |
Winnti-s variant POST / Accept: */* HHV1: 0 HHV2: 0 HHV3: 61456 HHV4: 1 |
Вариант PlugX, используемый Winnti, устанавливает соединение с новым, ранее неизвестным командным сервером – av4.microsoftsp3.com. Этот домен указывает на IP-адрес 163.43.32.4. Другие связанные с Winnti домены также стали указывать на этот адрес еще с 3 октября 2013 г.:
| ad.msnupdate.bz | ap.msnupdate.bz | |
| book.playncs.com | data.msftncsl.com | ns3.oprea.biz |
Мы вновь столкнулись с быстрым ростом использования недавно обнаруженной уязвимости различными группами при проведении атак класса APT. Мы уже наблюдали, как быстро в результате серьезной конкуренции новые эксплойты, попав в руки киберпреступников, добавляются к различным наборам эксплойтов. Мы пока не знаем, как новые APT-группы получили эксплойт для CVE-2013-3906 – возможно, в их руки попал тот же «конструктор», который использовали организаторы атак Hangover, или они раздобыли несколько образцов зараженных документов MS Word и приспособили их к своим нуждам. Так или иначе, можно сделать вывод, что так же, как и обычные киберпреступники в условиях жесткой конкуренции, организаторы APT-атак не стоят на месте, почивая на лаврах, а стараются постоянно развиваться, совершенствуя практику своей повседневной деятельности и активно сотрудничая друг с другом. В результате они представляют собой все более опасную угрозу.
Обнаруженные образцы
Exploit.MSOffice.CVE-2013-3906.a
Документ MS Word: Questionnaire.docx, 63ffbe83dccc954f6a9ee4a2a6a93058
Backdoor.Win32.Gulpix.tu
Бэкдор PlugX: update.exe, 4dd49174d6bc559105383bdf8bf0e234
Backdoor.Win32.Gulpix.tt
Внутренняя библиотека PlugX: 6982f0125b4f28a0add2038edc5f038a
Авторы
От тех же авторов
В той же категории
Эксплойт для CVE-2013-3906: «горячий» товар