Развитие информационных угроз в первом квартале 2024 года

Развитие информационных угроз в первом квартале 2024 года
Развитие информационных угроз в первом квартале 2024 года. Мобильная статистика
Развитие информационных угроз в первом квартале 2024 года. Статистика по ПК

Целевые атаки

«Операция Триангуляция»: последняя загадка

В июне прошлого года мы опубликовали серию отчетов об «Операции Триангуляция», ранее неизвестной вредоносной платформе для iOS, распространявшейся через эксплойты нулевого клика в iMessage. Эти эксплойты позволяли злоумышленникам просматривать и изменять файлы на устройстве, получать пароли и учетные данные, хранящиеся в связке ключей iCloud, извлекать информацию о местоположении и запускать дополнительные модули, расширяющие контроль над взломанными устройства

В конце декабря прошлого года в докладе на 37-м конгрессе Chaos Communication Congress (37C3) эксперты из центра глобальных исследований и анализа угроз (GReAT) подробно описали цепочку атаки, в том числе — впервые рассказали о том, как злоумышленники использовали аппаратную уязвимость CVE-2023-38606.

В новые модели iPhone встроены дополнительные аппаратные средства защиты, которые не дают злоумышленникам получить полный контроль над устройством, даже если у них есть доступ на чтение-запись в память ядра. В «Операции Триангуляция», атакующие получили этот доступ при помощи уязвимости CVE-2023-32434. Злоумышленники смогли обойти эту аппаратную защиту с помощью другой аппаратной функции разработанной Apple системы на кристалле (SoC): они записывали данные, адрес назначения и хэш данных в недокументированные, не используемые прошивкой аппаратные регистры чипа.

Мы предполагаем, что эта недокументированная аппаратная функция предназначалась для отладки или тестирования либо была включена по ошибке. Поскольку прошивка эту функцию не использует, мы не знаем, как злоумышленники узнали о ее существовании и принципах работы.

Облегченный метод обнаружения потенциально вредоносного ПО в iOS

В последние годы наши исследователи проанализировали заражения вредоносным ПО Pegasus на нескольких устройствах на базе операционной системы iOS. Обычные методы анализа заражения мобильных устройств с iOS включают либо изучение полной зашифрованной резервной копии операционной системы, либо анализ сетевого трафика зараженного устройства. Оба метода требуют больших затрат времени и высокой квалификации, поэтому мы решили найти более быстрый и простой метод выявления возможных заражений iPhone.

В ходе анализа мы обнаружили, что заражения оставляют следы в неожиданном системном логе — shutdown.log. Это текстовый файл системного журнала, доступный на любом мобильном устройстве на базе iOS. Каждое событие перезагрузки регистрируется в этом файле вместе с различными характеристиками среды. В файлах журнала могут храниться записи за несколько лет, содержащие огромное количество информации. Сам файл shutdown.log находится в архиве sysdiagnose (sysdiag). Это своего рода набор системных журналов и баз данных, который можно создавать для целей отладки и тестирования. Метод создания sysdiag может варьироваться в зависимости от версии iOS, но в любом случае этот архив обычно находится в общих настройках ОС, а именно в разделе «Конфиденциальность и аналитика» (точное название раздела тоже зависит от версии iOS). Создание архива, как правило, занимает несколько минут. В результате создается файл с расширением .TAR.GZ и размером около 200–400 МБ. Этот файл можно передать на компьютер для анализа. Файл shutdown.log находится в папке \system_logs.logarchive\Extra.

Анализ дампа sysdiag не требует много ресурсов и времени. Это простой и удобный метод выявления возможных заражений iPhone с помощью системных артефактов. Он может использоваться как дополнение к другим методам обнаружения заражений.

Полный текст анализа можно найти здесь.

Имплант DinodasRAT для Linux шпионит за организациями по всему миру

В начале октября 2023 года, вслед за публикацией статьи ESET о кампании «Операция Jacana», нацеленной на пользователей Windows, мы обнаружили новую версию вредоносного ПО DinodasRAT (другое название — XDealer) для Linux. Код и сетевые индикаторы компрометации (IoC) совпадают с описанными ESET образцами, которые использовались в атаках на правительственные учреждения Гайаны. Найденные в образцах артефакты дают основания полагать, что эта версия (десятая, согласно системе версий злоумышленников) начала работать в 2022 году, хотя первый известный вариант для Linux (седьмая версия), до сих пор не получивший публичного описания, датируется 2021 годом.

DinodasRAT — это многоплатформенный бэкдор, написанный на языке C++ и позволяющий злоумышленникам мониторить активность жертвы и собирать конфиденциальные данные с целевого компьютера. Это полнофункциональный бэкдор, предоставляющий оператору полный контроль над зараженной машиной, возможности для эксфильтрации данных и шпионажа.

Основные цели Linux-версии импланта DinodasRAT — это дистрибутивы на базе Red Hat и Ubuntu Linux. По данным нашей телеметрии и непрерывного мониторинга DinodasRAT с октября 2023 года мы обнаружили, что из всех стран и территорий мира от этой угрозы больше всего пострадали материковый Китай, Тайвань, Турция и Узбекистан.

Прочее вредоносное ПО

Новый бэкдор для macOS крадет данные криптокошельков

В декабре прошлого года мы обнаружили несколько взломанных приложений для macOS, выложенных на пиратских сайтах. Эти приложения были заражены прокси-троянцем. Недавно мы нашли новое семейство вредоносного ПО для macOS, которое скрывалось во взломанных программах и похищало данные криптокошельков.

Взломанные приложения — это один из самых простых способов доставки вредоносного ПО на компьютеры пользователей. Для повышения своих привилегий злоумышленникам достаточно запросить пароль, что при установке программы обычно не вызывает подозрений.

При этом некоторые идеи авторов вредоносной программы были весьма изобретательны. Например, они разместили свой Python-скрипт внутри TXT-записи домена на DNS-сервере. Позднее скрипт добавлялся в агенты запуска для загрузки и выполнения полезной нагрузки на следующем этапе в бесконечном цикле. Это давало операторам вредоносной программы возможность при необходимости доставлять обновления на зараженный компьютер.

Последней полезной нагрузкой был бэкдор. Он мог запускать скрипты с правами администратора и заменять приложения криптокошельков Exodus и Bitcoin на зараженные версии, которые похищали секретные фразы восстановления во время разблокировки кошелька.

С нашим анализом вы можете ознакомиться здесь.

Coyote: многоэтапный банковский троянец

Разработчики банковских троянцев постоянно ищут новые способы распространения своих имплантов. В ходе недавнего расследования мы столкнулись с новой вредоносной программой под названием Coyote. Она была нацелена на клиентов более чем 60 банковских учреждений, в основном в Бразилии. Наше внимание особенно привлекла сложная цепочка заражения, в которой использовались различные передовые технологии — для банковских троянцев это необычно.

Вместо Delphi или установщика MSI Coyote использует для распространения относительно новый инструмент для установки и обновления приложений Windows на настольных ПК — Squirrel. Тем самым разработчики вредоносной программы надеются замаскировать троянец под упаковщик обновлений.

Когда Squirrel выполняется, в какой-то момент он запускает приложение NodeJS, скомпилированное с помощью Electron. Это приложение выполняет обфусцированный код на JavaScript, который копирует все исполняемые файлы из локальной папки temp в папку с записями экрана пользователя внутри папки Видео. Затем из этой папки запускается подписанное приложение.

Один из интересных элементов цепочки заражения — использование Nim, относительно нового языка программирования, для загрузки финального этапа. Задача загрузчика — распаковать исполняемый файл .NET и выполнить его в памяти с помощью CLR. Загрузчик стремится загрузить исполняемый файл и выполнить его в своем процессе, что напоминает работу Donut.

После завершения всех этих этапов запускается троянец Coyote.

После успешного заражения Coyote ведет себя, как обычный банковский троянец. Он отслеживает все открытые приложения в зараженной системе и ждет, когда пользователь обратится к определенному банковскому приложению или сайту.

Сетевое туннелирование с помощью… QEMU

Киберпреступники часто пользуются легитимными инструментами, чтобы избежать обнаружения и свести к минимуму расходы на разработку собственных инструментов. Сканирование сети, захват дампа памяти процесса, эксфильтрация данных, удаленный запуск файлов и даже шифрование дисков — все это можно делать с помощью доверенного программного обеспечения. Чтобы закрепиться во взломанной инфраструктуре и развить атаку, злоумышленники могут использовать ранее установленное вредоносное ПО или подключаться к сети через RDP-серверы компании или корпоративный VPN (для этого у злоумышленников должен быть доступ к учетным записям с необходимыми привилегиями).

Другой способ подключения к внутренней сети атакуемой организации предполагает использование утилит для настройки сетевых туннелей или проброса сетевых портов между корпоративными системами и серверами противника. Это позволяет злоумышленникам обходить NAT и брандмауэры и получать доступ к внутренним системам. Существует множество утилит, с помощью которых можно создать сетевой туннель между двумя системами. Некоторые подключаются напрямую. Другие используют прокси, скрывающий IP-адрес сервера злоумышленников.

Во время расследования инцидента в крупной компании мы обнаружили нетипичную вредоносную активность в одной из систем. Мы провели анализ артефактов и обнаружили, что противник развернул и запустил (а) утилиту для сканирования сети Angry IP Scanner, (б) инструмент Mimikatz для извлечения паролей, хэшей и билетов Kerberos, а также для проведения атак на Active Directory и (в) аппаратный эмулятор QEMU. С первыми двумя программами все было очевидно, но использование QEMU вызвало вопросы. Зачем злоумышленникам потребовалась среда виртуализации?

Мы обнаружили, что QEMU поддерживает соединения между виртуальными машинами: опция -netdev создает сетевые устройства (бэкенд), которые затем могут подключаться к виртуальным машинам. Мы не могли достоверно определить, как злоумышленники запускают QEMU на своем сервере, поэтому мы решили создать тестовый стенд, состоящий из трех систем:

• Система InternalHost расположена внутри сети и не имеет доступа в интернет. На ней был включен RDP-сервер на сетевом порту 3389. Она имитирует изолированную систему без доступа к интернету.
• Система PivotHost расположена внутри сети и имеет доступ в интернет. Она имитирует систему, к которой злоумышленники получили доступ и которая будет использоваться для доступа к InternalHost.
• Система AttackerServer расположена в облаке, имитирует сервер злоумышленников.

Нашей целью было получение сетевого доступа из системы AttackerServer к системе InternalHost. Общая схема туннеля представлена на рисунке.

Схема сетевого туннеля

Мы смогли убедиться, что этот метод получения доступа к сети действительно эффективен. Подробности нашего расследования можно прочитать здесь.

Использование злоумышленниками легитимных программ для выполнения различных задач в ходе атаки — не новость для тех, кто занимается реагированием на инциденты. Однако стоит признать, что иногда атакующие находят весьма оригинальные способы применения не самых очевидных программ, как это было в случае с QEMU. Это еще один аргумент в пользу концепции многоуровневой (эшелонированной) защиты, которая включает в себя, помимо надежного решения для защиты конечных точек, также специализированные решения для обнаружения сложных и таргетированных атак (в том числе управляемых человеком) и защиты от них.