Отчеты о вредоносном ПО

Развитие информационных угроз во втором квартале 2022 года

Целевые атаки

Новый способ установки бесфайлового вредоносного ПО

В начале этого года мы обнаружили вредоносную кампанию, которая использовала новый способ установки беcфайлового вредоносного ПО на целевые компьютеры — внедрение шелл-кода в журналы событий Windows. Так злоумышленники скрывали троянец последнего этапа в файловой системе.

На первом этапе жертву убеждают перейти на легитимный веб-сайт и загрузить с него архив в формате RAR, содержащий инструменты Cobalt Strike и SilentBreak для тестирования сети на проникновение. Злоумышленники используют их для инъекции вредоносного кода в любой выбранный ими процесс. Вредоносный код внедряется напрямую в системную память и не оставляет на локальном диске артефактов, которые могли бы обнаружить средства киберзащиты и криминалистики, основанные на сигнатурах. Хотя бесфайловое вредоносное ПО используется уже давно, такой способ внедрения зашифрованного шелл-кода c вредоносной полезной нагрузкой в журналы событий Windows нам раньше не встречался.

Вредоносный код уникален и не имеет сходства с известным вредоносным ПО, поэтому пока неясно, кто стоит за кампанией.

Шпионское ПО WinDealer и техника man-on-the-side

Недавно мы опубликовали анализ WinDealer — вредоносной программы, разработанной APT-группой LuoYu. Один из наиболее интересных аспектов связанной с WinDealer кампании — использование атаки типа man-on-the-side («человек на стороне») для доставки вредоносного ПО и контроля скомпрометированных компьютеров. Атака этого типа подразумевает, что злоумышленник может контролировать канал связи в той мере, которая допускает чтение трафика и внедрение собственных сообщений в обычный обмен данными. В случае с WinDealer злоумышленники перехватывали запрос на обновление от легитимного ПО и подменяли файл обновления на зараженный.

В коде WinDealer не прописан точный адрес командного сервера, что затрудняет поиск C&C исследователями. Для связи WinDealer обращается к случайному IP-адресу из заданного диапазона, а атакующие перехватывают запрос и отвечают на него. Для этого им нужен постоянный доступ к маршрутизаторам всей подсети или к продвинутым инструментам на уровне интернет-провайдера (ISP).

Большая часть целей WinDealer находится в Китае: это иностранные дипломатические организации, представители научного сообщества и компании в сферах обороны, логистики и телекоммуникаций. Иногда APT-группа LuoYu атакует цели и в других странах: Австрии, Чехии, Германии, Индии, России и США. В последние месяцы злоумышленники также стали интересоваться компаниями из других стран Восточной Азии и их представительствами в Китае.

ToddyCat: новая APT-группа атакует высокостатусные организации Европы и Азии

В июне мы опубликовали анализ ToddyCat – относительно новой APT-группы, которую нам не удалось связать с другими известными злоумышленниками. Первая волна ее атак пришлась на небольшое число серверов Microsoft Exchange на Тайване и во Вьетнаме, которые были скомпрометированы с помощью Samurai — продвинутого пассивного бэкдора, обычно работающего на портах 80 и 443. Этот бэкдор открывает возможность выполнять произвольный код на C#. Вместе с ним обычно используют несколько модулей, позволяющих атакующему удаленно управлять системой и обеспечивающих горизонтальное перемещение по сети. В отдельных случаях через бэкдор Samurai запускалось другое сложное вредоносное ПО, которое мы назвали Ninja. Вероятно, оно входит в неизвестный нам инструментарий для работы с уже скомпрометированными целями, которым пользуется исключительно группа ToddyCat.

В следующей волне количество атак резко выросло: злоумышленники начали использовать уязвимость ProxyLogon для компрометации организаций в нескольких странах, включая Иран, Индию, Малайзию, Словакию, Россию и Великобританию.

В дальнейшем мы наблюдали другие варианты атак и кампании, которые, вероятнее всего, проводила эта же группа. Они затронули большинство ранее упомянутых стран, а также военные и правительственные организации, базирующиеся в Индонезии, Узбекистане и Киргизии. В третьей волне поверхность атак расширилась еще больше, включив в себя настольные системы.

IIS-бэкдор SessionManager

В 2021 году мы заметили, что несколько групп придерживаются похожих сценариев атаки: развертывают бэкдор в службе IIS после эксплуатации одной из уязвимостей типа ProxyLogon в Microsoft Exchange. Внедренный IIS-модуль позволяет злоумышленникам сохранять постоянный, устойчивый к обновлениям и относительно незаметный доступ к IT-инфраструктуре целевой организации, через который они могут собирать электронные письма, распространять вредоносное ПО в сети и скрытно управлять скомпрометированными серверами.

В прошлом году мы опубликовали анализ такого IIS-бэкдора, который назвали Owowa. В начале этого года мы исследовали еще один бэкдор, SessionManager. Он написан на C++ и представляет собой вредоносный IIS-модуль с нативным кодом. Расчет злоумышленников в том, что во вредоносный модуль будут загружать некоторые IIS-приложения, и он сможет обрабатывать легитимные HTTP-запросы, непрерывно отправляемые на сервер. Такие вредоносные модули обычно ожидают составленные определенным образом, но на первый взгляд легитимные HTTP-запросы от своих операторов, на основе скрытых в них инструкций запускают вредоносные действия, а затем явным образом передают эти запросы для обработки на сервер, как и любые другие.

Такие модули трудно обнаружить с помощью обычных методов мониторинга.

Целями атак с использованием SessionManager стали неправительственные и правительственные организации в Африке, Южной Америке, Азии, Европе и на Ближнем Востоке.

Мы полагаем, что за его использованием может стоять группа GELSEMIUM. Этот вывод основан на сходствах между жертвами и использовании одного и того же варианта OwlProxy.

Прочее вредоносное ПО

Spring4Shell

В конце марта исследователи обнаружили критическую уязвимость (CVE-2022-22965) в Spring, фреймворке с открытым исходным кодом для платформы Java. Эта уязвимость типа Remote Code Execution (RCE) позволяет злоумышленникам в удаленном режиме запускать вредоносный код на компьютере, если на нем не были установлены обновления. Уязвимость затрагивает приложения Spring MVC и Spring WebFlux, входящие в Java Development Kit 9 и более поздних версий. По аналогии с хорошо известной уязвимостью Log4Shell она получила название Spring4Shell.

К тому времени, когда исследователи сообщили о находке в компанию VMware, на GitHub уже был опубликован экспериментальный эксплойт. Его быстро удалили, но маловероятно, что киберпреступники не заметили такую потенциально опасную уязвимость.

В нашей публикации вы найдете более подробную информацию и рекомендации по устранению проблемы.

Активно эксплуатируемая уязвимость Windows

Вторничное обновление Windows за 10 мая закрыло, среди прочего, активно эксплуатируемую уязвимость. Уязвимость Windows LSA (локальной системы безопасности) CVE-2022-26925, открывающая возможность для спуфинга, сама по себе не считается критичной. Однако при использовании этой уязвимости в связке с релейной атакой New Technology LAN Manager (NTLM) уровень опасности по системе CVSSv3 достигает 9,8 баллов. Эта уязвимость нулевого дня может заставить контроллер домена аутентифицировать сервер злоумышленников по протоколам NTML. Ее уже использовали в реальных атаках, что делает ее устранение приоритетной задачей.

Уязвимость Follina в MSDT

В конце мая исследователи из команды nao_sec сообщили о новой уязвимости нулевого дня в MSDT (средство диагностики технической поддержки Microsoft), которую можно эксплуатировать через вредоносный документ Microsoft Office. Уязвимость CVE-2022-30190, названная Follina, влияет на все операционные системы Windows — пользовательские и серверные.

MSDT используется для сбора и отправки в Microsoft диагностической информации о проблемах с Windows. Этот инструмент можно вызвать через другие приложения по специальному URL-протоколу. Злоумышленники могут воспользоваться этим и затем запустить произвольный код с привилегиями приложения, вызвавшего MSDT, — в данном случае с правами пользователя, открывшего вредоносный документ.

Специалисты «Лаборатории Касперского» уже обнаружили попытки эксплуатации этой уязвимости и ожидают, что в будущем их станет больше, в том числе для вымогательства и кражи данных.

BlackCat: новая группа вымогателей

Природа не терпит пустоты, и после того как REvil и BlackMatter прекратили деятельность, их место заняла новая группа вымогателей. В декабре прошлого года на хакерских форумах появилась реклама услуг группы ALPHV, также известной как BlackCat. Злоумышленники заявляли, что они изучили ошибки предшественников и создали улучшенное вредоносное ПО.

Мошенники из BlackCat предлагают свои услуги по модели «шифровальщик как услуга» (RaaS). Они предоставляют другим группам доступ к своей инфраструктуре и вредоносному ПО, получая за это долю от выкупа. Также участники BlackCat, вероятно, сами проводят переговоры с жертвами. Это объясняет, почему услуги группы так быстро набрали популярность: «клиенту» остается только получить доступ к целевой сети.

Арсенал группы состоит из нескольких инструментов. Один из них — шифровальщик, написанный на Rust. Этот язык позволяет создать кроссплатформенный вредоносный инструмент с версиями и для Windows, и для Linux. Второй компонент — утилита Fendr, также известная как ExMatter, которая используется для эксфильтрации данных из зараженной инфраструктуры. Этот инструмент раньше использовала только группа BlackMatter, что указывает на то, что BlackCat — это, возможно, та же группа под новым названием. Кроме того, в инструментарий входит утилита PsExec для горизонтального распространения в сети жертвы, хорошо известная хакерская программа Mimikatz и программа для извлечение сетевых паролей Nirsoft.

Шифровальщик Yanluowang: восстановление зашифрованных файлов

Yanluowang – это относительно новый шифровальщик. Его название — отсылка к китайскому богу Яньло-вану, одному из десяти царей Ада. О его жертвах известно немного, но данные Kaspersky Security Network указывают на то, что атаки проводились в США, Бразилии, Турции и нескольких других странах.

Низкое число заражений связано с целевым подходом: группа подготавливает и проводит атаки на конкретные компании.

Наши эксперты обнаружили в шифровальщике уязвимость, которая позволяет в некоторых случаях восстановить файлы без ключа, известного только атакующему. Восстановление происходит с помощью известных незашифрованных текстов. Этот метод позволяет расшифровать файлы, если доступны две версии одного текста — зашифрованная и открытая. Если у жертвы есть исходные копии нескольких зашифрованных файлов, наша обновленная утилита Rannoh Decryptor может их проанализировать и восстановить остальную информацию.

Есть одна тонкость: Yanluowang немного по-разному меняет файлы в зависимости от размера. Он зашифровывает небольшие файлы (меньше 3 ГБ) полностью, а крупные — частично. Поэтому для дешифровки требуются открытые файлы разных размеров. Чтобы расшифровать файлы размером до 3 ГБ, достаточно найти пару файлов (оригинальный и зашифрованный) размером от 1024 байт. Для файлов больше 3 ГБ понадобится пара файлов соответствующего размера. Однако такой пары может хватить, чтобы восстановить и большие, и маленькие файлы.

Тактики, методы и процедуры вымогателей

В июне мы провели углубленный анализ тактик, методов и процедур (TTP) восьми наиболее распространенных семейств шифровальщиков — Conti/Ryuk, Pysa, Clop, Hive, Lockbit2.0, RagnarLocker, BlackByte и BlackCat. Целью этого анализа было помочь специалистам по защите корпоративных систем понять, как работают группы вымогателей и как противостоять их атакам.

В отчете присутствует:

  • Описание тактик, методов и процедур (TTP) восьми современных групп вымогателей.
  • Объяснение, почему у этих групп так много общего — более половины тактик, методов и процедур, а основные этапы атаки одинаковы у всех.
  • Схема цепочки поражения, которая наглядно отображает точки пересечения и общие характеристики групп и помогает предсказать следующие шаги злоумышленников.
  • Подробный анализ всех методов с примерами их использования разными группами вымогателей, а также полный список мер по их нейтрализации.
  • Правила SIGMA, созданные на основе описанных тактик, методов и процедур и применимые для SIEM-решений.

Тенденции развития шифровальщиков в 2022 году

В преддверии Дня борьбы с шифровальщиками (12 мая) мы проанализировали направления развития шифровальщиков в 2022 году. В своем отчете мы рассказываем о некоторых тенденциях.

Во-первых, злоумышленники стали чаще разрабатывать кроссплатформенные шифровальщики для атак на сложные среды из различных систем. Такие кроссплатформенные языки, как Rust и Golang, позволяют портировать вредоносное ПО на разные системы и, как следствие, расширить число потенциальных жертв.

Во-вторых, группы вымогателей продолжают все больше походить на самостоятельную отрасль: они перенимают методы и процессы легальных разработчиков программного обеспечения, превращая разработку шифровальщиков в настоящий бизнес.

В-третьих, разработчики шифровальщиков начинают участвовать в политике, выбирая сторону в конфликте между Россией и Украиной.

В заключение мы предлагаем рекомендации, которые помогут защититься от шифровальщиков:

  • Своевременно обновляйте программное обеспечение на всех устройствах.
  • В своей стратегии защиты сфокусируйтесь на том, чтобы не допустить горизонтального распространения вредоносного ПО и утечки данных.
  • Обеспечьте все рабочие места защитой от шифровальщиков.
  • Установите EDR-решения и защиту от APT, чтобы выявлять продвинутые угрозы, расследовать инциденты и своевременно ликвидировать последствия атак.
  • Предоставьте своим специалистам по кибербезопасности доступ к актуальным данным об угрозах.

Возвращение Emotet

Emotet впервые был обнаружен около восьми лет назад. Тогда, в 2014 году, этот зловред использовали в основном для кражи банковских данных. Впоследствии, после ряда трансформаций, он стал одним из мощнейших ботнетов. В январе 2021 Emotet попал в заголовки новостей, когда правоохранительные органы нескольких стран совместно прервали его активность. Однако такие операции не всегда ведут к прекращению киберпреступной деятельности. Злоумышленникам потребовалось почти 10 месяцев на перестройку инфраструктуры, но в ноябре 2021 года Emotet вернулся. Сначала его доставляли жертвам при помощи вредоносной программы Trickbot, но теперь он распространяется сам по себе через вредоносные спам-рассылки.

Недавний анализ протоколов Emotet и ответов командных серверов показал, что на данный момент программа может загружать 16 дополнительных модулей. Нам удалось получить 10 из них (в том числе две разные копии спам-модуля), которые предназначены для кражи учетных данных, паролей, учетных записей и электронных писем, а также для распространения спама.

Отчет об анализе этих модулей и статистику последних атак Emotet вы можете посмотреть здесь.

Emotet заражает компьютеры компаний и частных лиц по всему миру. Наша телеметрия показывает, что в первом квартале 2022 года атакам чаще всего подвергались пользователи из следующих стран: Италия, Россия, Япония, Мексика, Бразилия, Индонезия, Индия, Вьетнам, Китай, Германия и Малайзия.

К тому же само количество жертв Emotet значительно выросло.

Мобильные троянцы-подписчики

Троянцы-подписчики — известный способ кражи денег у пользователей устройств Android. Они маскируются под полезные приложения и после установки скрытно подписываются на платные сервисы.

Разработчики таких троянцев получают часть денег, потраченных пользователем на подписку. Деньги, как правило, снимаются со счета телефона, хотя иногда их могут списывать напрямую с банковской карты. Мы рассмотрели наиболее яркие примеры из семейств Jocker, MobOk, Vesub и GriftHorse, обнаруженные за последние 12 месяцев.

Как правило, поставщики сервисов требуют явное согласие пользователя на подписку и ввод одноразового кода из SMS, чтобы не допустить автоматической подписки. Чтобы обойти это защиту, троянец может запросить разрешение на доступ к текстовым сообщениям. При отказе он может извлечь код подтверждения из всплывающего уведомления о сообщении.

Некоторые троянцы не только воруют коды подтверждения из текстовых сообщений и уведомлений, но и обходят «капчу» — еще одно средство защиты от автоматических подписок. Чтобы распознать текст на изображении, троянец отсылает его в специализированный сервис.

Некоторые троянцы-подписчики распространяются через сомнительные источники под видом приложений, исключенных из официальных магазинов: например, приложения для скачивания контента из YouTube или других стриминговых сервисов или неофициальную версию GTA5 для Android. Кроме того, они могут имитировать бесплатные версии популярных дорогих приложений, таких как Minecraft.

Примеры поддельных приложений

Некоторые мобильные троянцы-подписчики устроены проще. При первом запуске они просят пользователя ввести номер телефона, якобы для входа. Подписка оформляется сразу, как только пользователь вводит номер телефона и нажимает кнопку «Войти», а деньги списываются с мобильного счета.

Другие троянцы оформляют подписки с регулярными платежами. Для этого требуется согласие пользователя, но тот может не понимать, что подписывается на регулярные автоплатежи. Более того, первый раз обычно запрашивают совсем небольшую сумму, а последующие платежи уже заметно выше.

Более подробную информацию о мобильных троянцах этого типа, а также рекомендации, как не стать их жертвами, вы найдете здесь.

Угроза со стороны шпионского ПО

Последние четыре года мы ежегодно публикуем отчеты о ситуации в связи со шпионским ПО, в которых используем данные Kaspersky Security Network. В этом году в наш отчет также вошли результаты опроса о цифровом преследовании, проведенного «Лабораторией Касперского» и несколькими общественными организациями.

Шпионское ПО позволяет тайно следить за частной жизнью и часто используется для физического или психологического насилия в близких отношениях. Такие программы можно найти в свободной продаже. Они дают доступ к различным личным данным, включая местонахождение устройства, на котором установлены, историю браузера, текстовые сообщения, чаты в социальных сетях, фотографии и т. д. Продажа шпионского ПО не запрещена законом, в отличие от его использования для слежки за человеком без его согласия. Во многих странах до сих пор отсутствуют четкие законы в отношении шпионского ПО, что облегчает жизнь его разработчикам.

По нашим данным, в 2021 году жертвами такого ПО стали около 33 000 человек.

Это ниже, чем наблюдалось в последние годы. Однако следует учитывать, что снижение показателей в 2020 и 2021 годах связано с локдаунами из-за COVID-19: в этот период абьюзерам не требовались цифровые инструменты, чтобы отслеживать и контролировать жизнь своих партнеров. Важно также помнить, что мобильные приложения — не единственный способ слежки. Абьюзеры могут использовать следящие устройства, например AirTag, приложения для ноутбуков, веб-камеры, системы умных домов и фитнес-трекеры. KSN собирает данные только об использовании мобильных приложений и получает их только с мобильных устройств, защищенных продуктами «Лаборатории Касперского». Но многие люди не ставят защиту на свои гаджеты. По оценкам Коалиции по борьбе со шпионским ПО, которая объединяет специалистов IT-отрасли и некоммерческих организаций, количество жертв может быть выше примерно в 30 раз — а это около миллиона человек!

Шпионские программы по-прежнему портят жизнь людей по всему миру: в 2021 году мы обнаружили такое ПО в 185 странах и регионах.

Как и в 2020 году, первые четыре места по количеству жертв занимают Россия, Бразилия, США и Индия. Любопытно, что Мексика опустилась с пятого на девятое место. Алжир, Турция и Египет вошли в первую десятку: они вытеснили из нее Италию, Великобританию и Саудовскую Аравию.

Чтобы снизить риск стать жертвой слежки, рекомендуем следующие меры:

  • Установите на телефоне уникальный сложный пароль и не сообщайте его никому.
  • Старайтесь не оставлять телефон без присмотра. Если этого не избежать, блокируйте его.
  • Загружайте приложения только из официальных источников.
  • Установите на своем мобильном устройстве надежное защитное приложение, которое способно обнаружить шпионское ПО.

Помните, просто удалить найденную шпионскую программу — не значит обезопасить себя. Абьюзер поймет, что вы узнали о слежке, и может прибегнуть к физическому насилию. Советуем обратиться за помощью к специалистам: на сайте Коалиции по борьбе со шпионским ПО вы найдете организации, которые могут поддержать в подобных ситуациях.

Развитие информационных угроз во втором квартале 2022 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике