Развитие информационных угроз во втором квартале 2023 года

• Развитие информационных угроз во втором квартале 2023 года
• Развитие информационных угроз во втором квартале 2023 года. Статистика по ПК
• Развитие информационных угроз во втором квартале 2023 года. Мобильная статистика

Целевые атаки

Распространение бэкдора Gopuram через атаки на цепочку поставок 3CX

В начале этого года произошла атака на крупную цепочку поставок с использованием троянизированной версии популярного VoIP-решения 3CXDesktopApp. Атакующие смогли внедрить в библиотеку для обработки мультимедиа libffmpeg вредоносный код, который скачивал полезную нагрузку с их серверов.

Анализируя телеметрию этой кампании, мы обнаружили на одном из компьютеров DLL-библиотеку guard64.dll, которая подгружалась в зараженный процесс 3CXDesktopApp.exe. DLL-библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживали с 2020 года. Расследуя заражение криптовалютной компании в Юго-Восточной Азии, мы обнаружили, что на пораженных компьютерах присутствует не только Gopuram, но и бэкдор AppleJeus, приписываемый группе Lazarus.

Мы отметили всего несколько случаев компрометации с использованием Gopuram, но в марте 2023 года количество заражений начало расти. Это было напрямую связано с атакой на цепочку поставок 3CX. Набор команд бэкдора позволяет злоумышленникам взаимодействовать с файловой системой и создавать процессы на зараженной машине. Кроме того, Gopuram способен запускать модули, выполняемые в памяти.

Тот факт, что бэкдор Gopuram был развернут на менее чем десяти зараженных машинах, указывает на хирургическую точность его операторов. Атаки были направлены исключительно на криптовалютные компании. Мы также узнали, что злоумышленники внедряют на целевых системах полнофункциональный модульный бэкдор Gopuram. Мы считаем, что Gopuram является основным имплантом и конечной полезной нагрузкой в цепочке атаки.

Новые случаи заражения Gopuram позволили нам связать кампанию 3CX с APT-группой Lazarus со средней или высокой степенью уверенности.

Отслеживание кампании Lazarus DeathNote

Lazarus — известная продвинутая в техническом плане группа. На протяжении последних нескольких лет мы отслеживали одну из ее активных кампаний, DeathNote, и отметили, что группа сменила направленность атак и усовершенствовала тактики, техники и процедуры (TTP).

Начиная с 2018 года группа Lazarus систематически атаковала компании из криптовалютного сектора, используя вредоносные документы Word на тему криптовалюты, которые могли вызвать интерес у получателей. Если получатель открывал документ и разрешал использование макросов, вредоносный скрипт извлекал встроенный загрузчик и загружал его в память с определенными параметрами. Для второго этапа заражения группа Lazarus использовала полезные нагрузки двух типов: троянизированное приложение, замаскированное под UltraVNC Viewer, и обычный многоэтапный бэкдор.

В ходе расследования мы выявили скомпрометированные компании и отдельных лиц на Кипре, в США, на Тайване и в Гонконге.

В апреле 2020 года мы увидели, что цели атак и вектор заражения значительно изменились. Кластер DeathNote стал использоваться для атак на автомобильные предприятия и научные организации Восточной Европы, связанные с оборонной промышленностью. Одновременно с этим группа заменила все документы-приманки: теперь они содержали описания проектов у оборонных подрядчиков и в дипломатических службах.

Lazarus также усовершенствовала цепочку заражения, используя метод удаленного внедрения шаблона (Remote Template Injection) во вредоносных документах и троянизированную программу с открытым исходным кодом для просмотра PDF-файлов. Оба метода заражения использовались для внедрения одного и того же зловреда (загрузчика DeathNote), который отправлял на командный сервер информацию о целевом компьютере и получал от него полезную нагрузку следующего этапа. В последнюю очередь в памяти выполнялся вариант COPPERHEDGE.

В мае 2021 года кластер DeathNote использовали для компрометации европейской IT-компании, поставляющей решения для мониторинга сетевых устройств и серверов. Возможно, группа Lazarus была заинтересована в популярном программном обеспечении компании или цепочке поставок.

В начале июня 2021 года Lazarus начала использовать новый механизм заражения против целей в Южной Корее. Интересно, что начальный этап зловреда выполняло легитимное защитное решение, которое широко используется в этой стране. Полагаем, что вредоносное ПО распространялось через уязвимость в нем.

Как и в предыдущем случае, начальный вектор заражения создавался загрузчиком. После подключения к командному серверу загрузчик получал дополнительную полезную нагрузку исходя из команд оператора и запускал ее в памяти. В качестве бэкдора, закрепляемого в памяти, использовался зловред BLINDINGCAN. Хотя функциональность BLINDINGCAN позволяет контролировать зараженный компьютер, злоумышленники вручную имплантировали дополнительное вредоносное ПО. Мы полагаем, они хотели иметь дополнительный метод контроля жертвы. Наконец, на зараженном компьютере выполнялся зловред COPPERHEDGE, который уже использовался в кластере.

В марте 2022 года мы обнаружили, что злоумышленники эксплуатировали ту же самую защитную программу, чтобы внедрить похожий загрузчик на компьютеры нескольких жертв в Южной Корее. Однако он скачивал другую полезную нагрузку. Оператор командного сервера дважды имплантировал бэкдор вручную. И хотя нам не удалось получить первый имплантированный бэкдор, мы предполагаем, что на следующем этапе использовался он же. Повторно имплантированный бэкдор может выполнять полезную загрузку, получая команды по именованному каналу. Кроме того, злоумышленники использовали динамическую загрузку для выполнения Mimikatz и стилер для сбора информации о нажатиях клавиш и данных из буфера обмена.

Примерно в то же время мы нашли доказательство того, что описанный бэкдор использовался для компрометации оборонного подрядчика из Латинской Америки. Начальный вектор заражения был похож на те, что мы наблюдали в других атаках на представителей оборонной отрасли, — например, тоже использовались троянизированная программа для просмотра PDF-файлов и вредоносный PDF-файл, созданный злоумышленниками. Однако в этом случае группа использовала метод динамической загрузки для выполнения конечной полезной нагрузки. Когда вредоносный PDF-файл открывался в троянизированной программе, на компьютер загружался описанный выше бэкдор, который собирал информацию о жертве и отправлял ее на командный сервер, получал команды по именованному каналу и выполнял их. Злоумышленники использовали бэкдор для внедрения дополнительных полезных нагрузок, в том числе легитимных файлов для динамической загрузки.

В июле 2022 года группа Lazarus взломала сеть оборонного подрядчика в Африке. Для начального заражения использовалось подозрительное приложение для просмотра PDF-файлов, которое жертва получила в чате Skype. После запуска оно создавало легитимный (CameraSettingsUIHost.exe) и вредоносный (DUI70.dll) файлы в одной папке. В этой атаке применялся тот же метод динамической загрузки DLL, что и в предыдущем случае. Группа Lazarus использовала это вредоносное ПО в нескольких разных кампаниях. Кроме того, тот же метод динамической загрузки DLL использовался для внедрения дополнительного вредоносного ПО, которое может выполнять функции бэкдора. Для дальнейшего распространения в системах злоумышленники выбрали интересный метод ServiceMove. В нем служба Windows Perception Simulation Service используется для загрузки произвольных DLL-файлов. Создав произвольный DLL-файл в папке C:\Windows\System32\PerceptionSimulation\ и запустив службу удаленно, злоумышленники могли выполнять код в удаленной системе под учетной записью NT AUTHORITY\SYSTEM.

Анализ кластера DeathNote показал, что используемые в нем тактики, техники и процедуры быстро развивались. Группа Lazarus продолжает совершенствовать свои технологии, поэтому организациям необходимо сохранять бдительность и принимать проактивные меры для защиты от ее вредоносных действий. Доступ к актуальной информации и надежная защита снизят риск стать жертвой этой опасной группы.

Проблемы атрибуции Tomiris и Turla

Впервые о группе Tomiris мы написали в сентябре 2021 года, после расследования атаки с перехватом DNS, направленной на правительственную организацию в СНГ. Мы описали связь между написанным на Golang имплантом Tomiris и SUNSHUTTLE (связанным с NOBELIUM/APT29/TheDukes), а также с Kazuar (связанным с Turla). Однако интерпретировать эти связи было трудно. Мы продолжали следить за Tomiris как за отдельной группой на протяжении трех новых кампаний, с 2021 по 2023 год, и использовали телеметрию, чтобы узнать больше.

Эта киберпреступная группа в основном атаковала дипломатические организации стран СНГ и Афганистана — в том числе расположенные в других странах.

Tomiris использует множество вредоносных имплантов, которые разрабатывает очень быстро и на всех доступных языках программирования. Ее инструменты можно разделить на три категории: загрузчики, бэкдоры и стилеры. Группа не только создает собственные инструменты, но и использует импланты и инструменты проникновения с открытым исходным кодом или из коммерческих источников. Векторы атак Tomiris разнообразны: целевой фишинг, перехват DNS, эксплуатация уязвимостей (в частности, ProxyLogon), подозрительные попутные загрузки и другие нестандартные методы.

Иногда трудно определить, кому принадлежат инструменты, используемые в атаках. В январе некоторые исследователи из других компаний приписали атаку на украинские организации группе Turla, исходя, по крайней мере частично, из использования зловредов KopiLuwak и QUIETCANARY (который мы называем TunnusSched) — их часто использует Turla.

Мы обнаружили, что образец TunnusSched был доставлен на целевой компьютер правительственной организации в СНГ в сентябре 2022 года. Наша телеметрия показала, что этот зловред был развернут из зловреда Telemiris, принадлежащего Tomiris. Более того, начиная с 2019 года мы находили дополнительные семейства имплантов, связанные с KopiLuwak, и обнаружили, что TunnusSched и KopiLuwak входят в один набор инструментов.

Несмотря на возможные связи, мы убеждены, что Turla и Tomiris — две разные группы. Tomiris — это несомненно русскоязычная группа, но ее цели и методы значительно отличаются от целей и методов Turla. Кроме того, Tomiris использует другие техники вторжения и не стремится скрывать свои действия так, как Turla.

Мы рассматриваем несколько вероятных сценариев.

1. Turla взяла на вооружение инструмент, обнаруженный в 2016 году, и продолжает использовать его в текущих операциях наряду с новыми инструментами.
2. Другие группы могли перепрофилировать эти инструменты и использовать их под другими названиями.
3. Turla делится инструментами и опытом с Tomiris или проводит операции совместно с Tomiris.
4. Tomiris и Turla приобретают инструменты проникновения у одного и того же поставщика. Или же, возможно, группа Tomiris начала деятельность как частный подрядчик, разрабатывающий инструменты для Turla, а теперь предлагает свои услуги другим.

Первые две гипотезы кажутся наименее вероятными. Скорее, Tomiris и Turla целенаправленно сотрудничают друг с другом, хотя точный характер связи трудно определить исходя из имеющейся информации.

APT-угроза CloudWizard: история CommonMagic продолжается

В октябре прошлого года мы выявили активное заражение правительственных, сельскохозяйственных и транспортных организаций в Донецке, Луганске и Крыму. В марте мы опубликовали результаты первичного анализа имплантов PowerMagic и CommonMagic. Тогда мы не смогли выявить соответствий между найденными образцами и данными, используемыми в кампании, и известными группами. Однако в ходе дальнейшего расследования мы собрали больше информации об угрозе, в том числе о связях с другими APT-кампаниями.

В поисках имплантов, похожих на PowerMagic и CommonMagic, мы обнаружили еще более сложные и вредоносные активности, относящихся к той же киберпреступной группе. Что интересно, атакам подверглись цели не только в Донецке, Луганске и Крыму, но и в центре и на западе Украины. Среди них были как отдельные лица, так и дипломатические и научно-исследовательские организации.

В обнаруженной кампании использовался модульный фреймворк, который мы назвали CloudWizard. Он делает снимки экрана, записывает звук с микрофона, сохраняет данные, вводимые с клавиатуры, и выполняет другие функции.

В регионе российско-украинского конфликта проводили свои операции множество APT-групп, в том числе Gamaredon, CloudAtlas и BlackEnergy. Поэтому мы искали улики, которые помогли бы приписать CloudWizard одной из них. CloudWizard напомнил нам о двух кампаниях на территории Украины, описанных в публичных отчетах: Operation Groundbait (впервые описана ESET в 2016 году) и Operation BugDrop (открыта CyberX в 2017 году). Хотя о зловреде Prikormka (часть Operation Groundbait) несколько лет не было слышно ничего нового, мы выявили сходства между ним, CommonMagic и CloudWizard. Следовательно, можно утверждать, что группа, стоящая за этими двумя операциями, не прекратила свою деятельность и более 15 лет продолжает разрабатывать инструменты для кибершпионажа и проводить атаки.

Встречайте: APT-группа GoldenJackal

GoldenJackal, APT-группа, ведущая деятельность с 2019 года, обычно атакует правительственные и дипломатические организации на Ближнем Востоке и в Южной Азии.

Мы начали следить за этой группой в середине 2020 года — ее стабильная активность указывает на эффективность методов и способность скрывать свои следы.

Главная особенность GoldenJackal — специфичный набор зловредных имплантов на .NET: JackalControl, JackalWorm, JackalSteal, JackalPerInfo и JackalScreenWatcher.  Они распространяются через съемные диски и используются для контроля целевых компьютеров, извлечения данных, кражи учетных записей, сбора информации о локальной системе и действиях жертвы в интернете, а также для создания и отправки снимков экрана.

У нас нет достаточной информации о векторах заражения, которые использует эта группа, однако расследование показало, что она применяла установщики Skype и вредоносные документы Word.

Фальшивый установщик Skype с именем skype32.exe представлял собой исполняемый файл .NET — дроппер, содержащий троянец JackalControl и легитимный установщик автономной версии Skype for Business. Вредоносный документ, замаскированный под легитимный циркуляр для сбора информации об офицерах, награжденных правительством Пакистана, использует метод Remote Template Injection для загрузки вредоносной HTML-страницы, эксплуатирующей уязвимость Follina.

Характерный признак деятельности GoldenJackal — использование скомпрометированных WordPress-сайтов для размещения логики обращения к командным серверам. Мы полагаем, что атакующие отправляют на сайт вредоносный PHP-файл, который используется для перенаправления веб-запросов на другой опорный командный сервер. У нас нет доказательств того, что сайты были скомпрометированы через уязвимости. Однако мы заметили, что на многих сайтах использовались устаревшие версии WordPress, а некоторые были изменены или заражены ранее внедренными веб-шеллами, вероятно, в результате работы мелких хакеров-активистов или других киберпреступников.

Операция Триангуляция

В начале июня мы опубликовали раннее оповещение о продолжительной кампании, которую мы отслеживаем под названием Операция Триангуляция (Operation Triangulation). В ней используется ранее неизвестное вредоносное ПО для iOS, которое распространяется через сообщения iMessage и не требует взаимодействия с пользователем.

Для атаки используется невидимое сообщение iMessage со вредоносным вложением. Используя ряд уязвимостей iOS, вложение выполняется и устанавливает шпионское приложение. Развертывание шпионской программы происходит скрытно и не требует никаких действий со стороны пользователя. После установки она передает на удаленные серверы личную информацию, в том числе записи через микрофон, фотографии из мессенджеров, данные геолокации и другую информацию о действиях владельца зараженного устройства.

Мы обнаружили эту угрозу с помощью SIEM-платформы Kaspersky Unified Monitoring and Analysis Platform (KUMA). В ходе дальнейшего расследования мы выяснили, что были заражены iPhone десятков сотрудников «Лаборатории Касперского».

Мы связались с отраслевыми партнерами, чтобы оценить распространенность угрозы, и опубликовали методику криминалистического анализа, которая поможет другим организациям понять, подверглись ли они атакам этой неизвестной группы. Впоследствии мы опубликовали утилиту для проверки наличия индикаторов компрометации (IoC).

После этого мы выпустили первый из серии дополнительных отчетов, описывающий конечную полезную нагрузку в цепочке заражения — сложное шпионское приложение, которое мы назвали TriangleDB. Этот имплант работает в памяти и периодически обращается к инфраструктуре командных серверов. Он позволяет атакующим просматривать и изменять файлы на устройстве, извлекать пароли и учетные данных из службы Keychain, собирать геоданные, а также выполнять дополнительные модули, которые расширяют контроль над скомпрометированными устройствами.

Ошибки группы Andariel и новое семейство зловредов

Группа Andariel (подразделение Lazarus) известна тем, что в середине 2022 года использовала в своих атаках зловред DTrack и шифровальщик Maui. В тот же период она активно эксплуатировала уязвимость Log4j. В ходе кампании исследователи выявили несколько новых семейств вредоносного ПО, например YamaBot и MagicRat, а также обновленные версии NukeSped и DTrack.

На эту новую кампанию мы наткнулись во время другого расследования и решили подробнее исследовать ее. Мы обнаружили прежде не задокументированное вредоносное семейство и новые техники, тактики и процедуры Andariel.

Злоумышленники заражают компьютеры с помощью эксплойта Log4j, который скачивает вредоносное ПО следующего этапа с командного сервера. К сожалению, первый этап загружаемого зловреда мы не нашли, но выяснили, что вскоре после эксплуатации уязвимости загружался бэкдор DTrack.

Мы смогли воспроизвести выполняемые команды и быстро поняли, что их выполнял человек — судя по количеству ошибок и опечаток, неопытный. Мы смогли также определить набор готовых инструментов, которые операторы Andariel устанавливали и запускали во время выполнения команд, а затем использовали для дальнейшей эксплуатации целевого компьютера. К ним относятся Supremo Remote Desktop, 3Proxy, Powerline, Putty, Dumpert, NTDSDumpEx и ForkDump.

Кроме того, мы обнаружили новое вредоносное ПО и назвали его EarlyRat. Мы заметили этот зловред в одной из атак с использованием Log4j и предположили, что он был загружен через этот эксплойт. Однако в поисках дополнительных образцов мы обнаружили фишинговые документы, которые использовались для внедрения EarlyRat.

EarlyRat, как и фишинговый документ, очень прост: он может выполняет команды, но не обладает какими-то интересными функциями.

Прочее вредоносное ПО

Внедрение шифровальщика Nokoyawa через уязвимость нулевого дня в Windows

Компоненты Анализ поведения и Защита от эксплойтов, разработанные «Лабораторией Касперского», обнаружили попытки выполнить эксплойты повышения привилегий на серверах Windows, принадлежащих предприятиям малого и среднего бизнеса на Ближнем Востоке, в Северной Америке и в Азии. Эти эксплойты напоминали ранее проанализированный нами эксплойт для уязвимости в Common Log File System (CLFS) — подсистемы журналов Windows. Однако после повторной проверки один из них оказался эксплойтом нулевого дня для разных версий и сборок Windows, включая Windows 11. Мы поделились результатами с компанией Microsoft, которая присвоила уязвимости код CVE-2023-28252. Уязвимость была исправлена 4 апреля.

Как правило, эксплойты нулевого дня, которые мы обнаруживали раньше, использовали APT-группы, а этот эксплойт использовала Nokoyawa — продвинутая киберпреступная группа, проводящая атаки с использованием шифровальщиков.

Всплеск заражений банковским троянцем QBot

В начале апреля мы наблюдали значительный рост количества атак с использованием зловреда QBot (другие названия: QakBot, QuackBot и Pinkslipbot). Зловред доставлялся через вредоносные документы в деловой переписке. Хакеры получали доступ к настоящим деловым письмам (QBot, помимо прочего, извлекает письма, хранящиеся на компьютерах предыдущих жертв) и вступали в диалог, как будто бы продолжая переписку. В письмах они пытались убедить пользователей открыть вложенный PDF-файл, замаскированный под список расходов или другие деловые документы. PDF-файл действительно содержал фальшивое уведомление от Microsoft Office 365 или Microsoft Azure. Оно должно было убедить пользователя нажать кнопку «Открыть», которая запускала скачивание защищенного паролем файла (пароль содержался в тексте уведомления). Если получатель распаковывал архив и запускал файл .WSF (Windows Script File), который находился внутри, с удаленного сервера скачивался QBot.

Постепенное усложнение Minas

В июне 2022 года мы обнаружили подозрительный шелл-код, который выполнялся в памяти как системный процесс. Мы восстановили цепочку заражения и определили, что этот шелл-код как задачу запускал закодированный скрипт PowerShell. Мы с низкой степенью уверенности предполагаем, что скрипт был создан с использованием объекта групповой политики (GPO). Это вызывает особое беспокойство, так как указывает на компрометацию целевой сети.

Зловред, который мы назвали Minas, оказался майнером. Он скрывает свое присутствие в зараженной системе, используя шифрование, случайную генерацию имен и методы перехвата и внедрения. Также он использует методы закрепления, чтобы долгое время оставаться в зараженной системе.

Вероятно, будущие варианты майнера будут способны избегать обнаружения антивирусами. Поэтому организациям следует использовать защитное решение, которое использует для выявления угроз не только сигнатуры, но и поведенческий анализ.

Satacom устанавливает браузерное расширение, ворующее криптовалюту

В июне мы писали о недавней кампании по распространению загрузчика Satacom. Основная цель внедряемого зловреда — кража биткоинов из учетной записи жертвы через веб-инъекции в целевые веб-сайты, связанные с криптовалютами. Для этого зловред устанавливает расширение для веб-браузеров на базе Chromium, которое связывается с командным сервером, чей адрес хранится в данных транзакций с биткоинами.

Вредоносное расширение использует различные JS-скрипты для манипуляций с браузером, когда пользователь заходит на целевые веб-сайты, в том числе составляет список сайтов, связанных с криптовалютами, и применяет к ним различные действия. Он также может изменять внешний вид некоторых почтовых служб, например Gmail, Hotmail и Yahoo, чтобы скрыть свою активность.

Хотя мы проанализировали цепочку заражения для Windows, зловред действует как расширение для браузеров на базе Chromium, так что злоумышленники при необходимости могут устанавливать его на других платформах, в том числе Linux и macOS.

Использование DoubleFinger для кражи криптовалюты

В июне мы сообщали о сложной атаке с использованием загрузчика DoubleFinger, который устанавливал стилер для кражи криптовалюты и RAT-троянец. Технические особенности и многоэтапный механизм заражения напоминают атаки APT-групп.

Процесс начинается с вредоносного письма, в котором содержится вредоносный PIF-файл. Если целевой пользователь открывает вложения, начинается первый этап атаки. DoubleFinger запускает шелл-код, который скачивает PNG-файл с платформы для обмена изображениями Imgur.com. Этот файл содержит в зашифрованном виде несколько компонентов DoubleFinger, которые используются на последующих этапах атаки, в том числе загрузчик для второго этапа атаки — легитимный файл java.exe. Затем выполняются попытки обойти установленное защитное ПО и расшифровка другого PNG-файла, который разворачивается на четвертом этапе и содержит не только вредоносный код, но и изображение, давшее имя зловреду.

Затем DoubleFinger запускает пятый этап с помощью метода Process Doppelgänging. Он заменяет легитимный процесс на модифицированный с вредоносной полезной нагрузкой — стилером для кражи криптовалюты GreetingGhoul, который сам себя устанавливает в системе и запускается каждый день по расписанию.

GreetingGhoul содержит два компонента: один находит криптовалютные кошельки в системе и ворует данные, которые могут быть интересны операторам (например, закрытые ключи и мнемонические фразы), а второй создает наложения на интерфейсе криптовалютных приложений и считывает ввод пользователя.

Так атакующие могут контролировать криптовалютные кошельки на целевом компьютере и воровать из них деньги.

Мы нашли несколько модификаций DoubleFinger, некоторые из которых устанавливают троянец удаленного доступа Remcos. Он используется для отслеживания всех действий пользователя и получения полного контроля над системой.