Эксплойт для CVE-2013-3906: «горячий» товар

На днях компания FireEye сообщила, что ряды киберпреступников, применяющих недавно обнаруженный эксплойт CVE-2013-3906, пополнились новыми злоумышленниками. Их зараженные документы имеют много общего с теми, что использовались ранее, однако у них иная полезная нагрузка. На этот раз, по сведениям FireEye, эксплойты применяются для доставки бэкдоров Taidoor и PlugX.

Кроме того, эксперты «Лаборатории Касперского» обнаружили, что еще одна группировка, специализирующаяся на целевых атаках, совсем недавно начала распространять вредоносные документы MS Word, содержащие эксплойт для уязвимости CVE-2013-3906. Это группа Winnti, о которой мы подробно писали здесь. Группа осуществляла целевые фишинговые рассылки электронных писем с вложенным документом, содержащим эксплойт. Как обычно для злоумышленников группы Winnti, они используют этот метод для доставки вредоносного ПО первой стадии – PlugX.

Мы обнаружили очередную атаку на игровую компанию, которая вот уже на протяжение 2-х лет постоянно подвергается атакам со стороны группы Winnti. Документ MS Word, содержащий эксплойт, демонстрирует то же запускающее эксплуатацию уязвимости «изображение» в формате TIFF – 7dd89c99ed7cec0ebc4afa8cd010f1f1, – что и в атаках Hangover. Если попытка эксплуатировать уязвимость оказывается успешной, то с удаленного узла по URL: hxxp://211.78.90.113/music/cover/as/update.exe, происходит загрузка бэкдора PlugX.

Судя по PE-заголовку, этот образец PlugX скомпилирован 4 ноября 2013 г. Реализующая функционал PlugX внутренняя динамическая библиотека, которая расшифровывается и размещается в памяти в процессе выполнения вредоносной программы, создана немного раньше – 30 октября 2013 г. С точки зрения ветвей разработки загружаемая версия PlugX несколько отличается от обычного PlugX, но имеет тот же тип, что версия, обнаруженная FireEye, – та, в которой вредоносная программа отсылает на центр управления HTTP POST пакеты, в которые добавлены заметные дополнительные заголовки:

FireEye sample
POST / HTTP/1.1
Accept: */*
FZLK1: 0
FZLK2: 0
FZLK3: 61456
FZLK4: 1
Winnti-s variant
POST / HTTP/1.1
Accept: */*
HHV1: 0
HHV2: 0
HHV3: 61456
HHV4: 1

Вариант PlugX, используемый Winnti, устанавливает соединение с новым, ранее неизвестным командным сервером – av4.microsoftsp3.com. Этот домен указывает на IP-адрес 163.43.32.4. Другие связанные с Winnti домены также стали указывать на этот адрес еще с 3 октября 2013 г.:

ad.msnupdate.bz ap.msnupdate.bz
book.playncs.com data.msftncsl.com ns3.oprea.biz

Мы вновь столкнулись с быстрым ростом использования недавно обнаруженной уязвимости различными группами при проведении атак класса APT. Мы уже наблюдали, как быстро в результате серьезной конкуренции новые эксплойты, попав в руки киберпреступников, добавляются к различным наборам эксплойтов. Мы пока не знаем, как новые APT-группы получили эксплойт для CVE-2013-3906 – возможно, в их руки попал тот же «конструктор», который использовали организаторы атак Hangover, или они раздобыли несколько образцов зараженных документов MS Word и приспособили их к своим нуждам. Так или иначе, можно сделать вывод, что так же, как и обычные киберпреступники в условиях жесткой конкуренции, организаторы APT-атак не стоят на месте, почивая на лаврах, а стараются постоянно развиваться, совершенствуя практику своей повседневной деятельности и активно сотрудничая друг с другом. В результате они представляют собой все более опасную угрозу.

Обнаруженные образцы

Exploit.MSOffice.CVE-2013-3906.a

Документ MS Word: Questionnaire.docx, 63ffbe83dccc954f6a9ee4a2a6a93058

Backdoor.Win32.Gulpix.tu

Бэкдор PlugX: update.exe, 4dd49174d6bc559105383bdf8bf0e234

Backdoor.Win32.Gulpix.tt

Внутренняя библиотека PlugX: 6982f0125b4f28a0add2038edc5f038a

Публикации на схожие темы

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *