Отчеты о вредоносном ПО

Развитие информационных угроз в третьем квартале 2021 года

Целевые атаки

WildPressure атакует устройства с macOS

В марте прошлого года мы сообщали о кампании WildPressure, нацеленной на промышленные предприятия на Ближнем Востоке. Продолжая наблюдать за этой угрозой, весной 2021 года мы обнаружили ее новую версию. Она содержит троянскую программу Milum на C++, ее вариант на VBScript и набор модулей, включающий оркестратор и три плагина. Это подтверждает наши предположения о существовании компонентов последнего этапа, написанных на языках помимо С++.

Разработчики WildPressure также используют Python. Модуль PyInstaller для Windows содержит скрипт под названием Guard. Интересно, что этот зловред был разработан сразу для двух операционных систем — Windows и macOS. Стиль программирования, дизайн кода в целом и протокол связи с C&C остаются узнаваемыми на всех трех языках программирования, с которыми работают его создатели.

WildPressure использует как виртуальные частные серверы (VPS), так и скомпрометированные серверы, большинство из которых раньше были сайтами на WordPress.

У нас довольно мало информации об образцах, описанных в этом отчете. Однако данные телеметрии позволяют предположить, что целями кампании могли быть в том числе предприятия нефтегазовой отрасли.

Отчет и видеопрезентацию по итогам наших исследований новой версии зловреда можно найти здесь.

LuminousMoth: масштабная атака на избранных

Недавно мы узнали о масштабной и очень интенсивной целевой атаке в Юго-Восточной Азии, которую мы назвали LuminousMoth. Кампания началась в октябре прошлого года и на момент выхода нашего отчета в июле все еще продолжалась. Большинство ранних инцидентов зафиксированы в Мьянме, но сейчас основная активность злоумышленников, по-видимому, сосредоточена на Филиппинах. Среди их целей крупные государственные учреждения, расположенные как в этих, так и в других странах.

APT-группировки, как правило, очень тщательно подходят к выбору целей и настраивают векторы заражения, импланты и вредоносные нагрузки в зависимости от особенностей будущих жертв и их среды. Они обычно избегают масштабных атак из-за лишнего «шума», который может привлечь ненужное внимание. Однако LuminousMoth — исключение из правил. Мы думали, что их интересуют лишь несколько избранных целей, но зафиксировали множество случаев заражения.

Получив первоначальный доступ к системе, злоумышленники рассылают жертвам целевые фишинговые письма со ссылкой на Dropbox. По ссылке загружается RAR-архив, замаскированный под документ Word. Он содержит две вредоносные DLL-библиотеки и два легитимных исполняемых файла, которые загружают DLL-файлы. Мы обнаружили множество подобных архивов с файлами, содержащими названия государственных учреждений Мьянмы.
Мы также определили второй вектор заражения, который используют преступники: после успешного завершения первого этапа они пытаются распространить вредоносное ПО по всей сети через USB-накопители.

Помимо вредоносных DLL-библиотек, злоумышленники также устанавливают в некоторых зараженных системах фальшивую, хотя и подписанную, версию популярного приложения Zoom, что позволяет им извлекать данные.

Злоумышленники также устанавливают дополнительные инструменты, которые позволяют получить доступ к электронной почте жертв на Gmail с помощью файлов cookie, украденных из браузера Chrome.

Инфраструктурные пересечения, а также общие тактики, методы и процедуры (TTP) говорят о возможной связи LuminousMoth с группировкой HoneyMyte, которая в прошлом проводила целевые атаки в том же регионе и с использованием тех же инструментов.

Целевые атаки с использованием уязвимости CVE-2021-40444

7 сентября компания Microsoft сообщила об уязвимости нулевого дня, которая позволяет злоумышленникам удаленно выполнять код на компьютерах. Уязвимость обнаружилась в MSHTML — браузерном движке Internet Explorer. И хотя сам браузер в наши дни не очень популярен среди пользователей, некоторые программы (в частности, приложения Microsoft Office) используют его движок для обработки веб-контента.

По нашим наблюдениям, целевым атакам с использованием этой уязвимости подвергаются научно-исследовательские, телекоммуникационные и энергетические компании, крупные промышленные предприятия, банки, разработчики медицинских технологий и сектор IT.

Используя эту уязвимость, злоумышленники встраивают в документ Microsoft Office объект, содержащий ссылку на вредоносный скрипт. Когда жертва открывает документ, программа Microsoft Office загружает скрипт и запускает его с помощью движка MSHTML. Затем при помощи управляющих элементов ActiveX скрипт выполняет вредоносные действия на зараженном компьютере.

Бэкдор Tomiris оказался связан с атакой на SolarWinds

Инцидент, произошедший с SolarWinds в декабре прошлого года, привлек наше внимание из-за необычайной осторожности злоумышленников и высокого статуса их жертв. По данным расследования, для подготовки атаки участники группировки DarkHalo (она же Nobelium) провели шесть месяцев в сетях OrionIT. На приведенном ниже графике показана хронология разных этапов кампании.

В июне, больше чем через полгода после того, как группировка DarkHalo прекратила свою деятельность, мы зафиксировали перехват DNS-запросов в нескольких правительственных зонах одной из стран СНГ. Таким образом злоумышленники смогли перенаправить трафик с правительственных почтовых серверов на подконтрольные компьютеры и, вероятно, получили доступ к учетным данным жертв на панели управления регистратора. Пытаясь войти в рабочую почту, сотрудники попадали на страницу с фальшивым веб-интерфейсом.

После этого их обманом заставляли загрузить ранее неизвестное вредоносное ПО. Бэкдор под названием Tomiris очень похож на Sunshuttle (он же GoldMax) — вредоносное ПО второго этапа, которое группа DarkHalo использовала в прошлом году.  Много общего у него и с бэкдором Kazuar, который связывают с APT-группой Turla. Этих сходств недостаточно, чтобы уверенно говорить о связи между Tomiris и Sunshuttle, но они позволяют предположить, что создатели зловредов использовали одни и те же методы разработки.

Подробнее о результатах нашего анализа читайте здесь.

GhostEmperor

Ранее в этом году, расследуя множественные атаки на серверы Microsoft Exchange, мы заметили регулярные всплески активности в нескольких скомпрометированных сетях. По нашим данным, они связаны с деятельностью новой группировки, которую мы назвали GhostEmperor. Этот кластер активности привлек наше внимание тем, что злоумышленники использовали ранее неизвестный руткит режима ядра Windows, получивший название Demodex, а также сложный многоуровневый вредоносный фреймворк, предназначенный для получения удаленного доступа к атакованным серверам.

Руткит скрывал от исследователей и защитных решений артефакты зловреда в пользовательском режиме. Кроме того, он демонстрировал нестандартную схему загрузки с использованием компонента режима ядра из проекта Cheat Engine с открытым кодом, позволяющую обойти механизм проверки цифровой подписи драйверов в Windows.

Мы выявили несколько векторов атаки, запускавших цепочку заражения, которая приводила к выполнению вредоносной программы в памяти. Судя по тому, что многие из вредоносных артефактов были установлены посредством серверных процессов httpd.exe (Apache Server), w3wp.exe (IIS Windows Server) и oc4j.jar (Oracle Server), в большинстве случаев GhostEmperor использовали для развертывания своих зловредов общедоступные серверы. Вероятно, злоумышленники эксплуатировали уязвимости веб-приложений, запущенных в этих системах, чтобы загружать и выполнять свои файлы.

Обычно заражение начинается с файла BAT, но в некоторых случаях нам удалось отследить его более раннюю стадию: динамическую загрузку вредоносной библиотеки DLL с помощью wdichost.exe (ранее MpCmdRun.exe) — легитимной утилиты командной строки Microsoft. Эта библиотека затем использовалась для декодирования и загрузки дополнительного исполняемого файла license.rtf. К сожалению, нам не удалось восстановить сам исполняемый файл. Однако мы увидели, что действия, следующие за его загрузкой, включали создание и выполнение скриптов GhostEmperor с помощью wdichost.exe.

Группировка уже использовала этот инструментарий раньше, в июле 2020 года, — в основном для целевых атак на государственные учреждения и телекоммуникационные компании в Юго-Восточной Азии.

FinSpy: анализ текущих возможностей

В конце сентября наши исследователи представили на саммите антивирусных аналитиков обзор возможностей FinSpy — знаменитого шпионского ПО, которое, как неоднократно сообщалось, используют некоторые неправительственные организации для слежки за журналистами, политическими диссидентами и защитниками прав человека. Мы проанализировали версии FinSpy для Windows, Linux и macOS. Все они имеют одинаковую внутреннюю структуру и функции.

После 2018 года FinSpy для Windows мы обнаруживали все реже. Это не означает, что зловред исчез, — он просто начал использовать разные импланты первого этапа, чтобы скрыть следы своей деятельности. Нам стали попадаться подозрительные пакетные установщики (в том числе для TeamViewer, VLC Media Player и WinRAR), содержащие бэкдоры. Затем, в середине 2019 года, мы обнаружили хост с этими программами, на котором среди прочего были импланты для мобильных устройств с Android.

Создатели FinSpy хорошо потрудились, чтобы сделать его недоступным для исследователей безопасности. Похоже, на защиту от анализа и обфускацию они потратили больше сил, чем на разработку самого троянца. Во-первых, образцы оказались оснащены многоуровневой защитой от обнаружения.

Во-вторых, после установки троянец тщательно маскировался с помощью четырех сложных, специально созданных обфускаторов.

Помимо троянизированных установщиков, мы наблюдали заражение с использованием буткита для UEFI (унифицированный расширяемый микропрограммный интерфейс) или MBR (главная загрузочная запись). Если заражение MBR — метод, известный по меньшей мере с 2014 года, то о бутките для UEFI мы впервые рассказали в закрытом отчете, посвященном FinSpy.

Смартфоны и планшеты заражаются через ссылки в текстовых сообщениях. В некоторых случаях (например, если на iPhone жертвы не был выполнен джейлбрейк) злоумышленнику может потребоваться физический доступ к устройству.

Прочее вредоносное ПО

Атаки REvil на поставщиков управляемых услуг и их клиентов по всему миру

2 июля мы узнали о целевой атаке группировки REvil (также Sodinokibi), работающей по принципу «шифровальщик как услуга», на поставщиков управляемых услуг (MSP) и их клиентов.

Злоумышленники обнаружили и использовали уязвимость нулевого дня в Kaseya — платформе администрирования виртуальных систем и серверов (VSA). Клиенты Kaseya использовали программное обеспечение VSA для удаленного мониторинга и управления ПО и сетевой инфраструктурой через облачную службу или локальные VSA-сервера.

Воспользовавшись уязвимостью, преступники с помощью скрипта PowerShell внедряли в систему вредоносный загрузчик. Скрипт отключал Microsoft Defender, а затем использовал утилиту certutil.exe для декодирования исполняемого файла, который, в свою очередь, скачивал старую версию Microsoft Defender вместе с шифровальщиком Revil в составе вредоносной библиотеки. После этого библиотека динамически загружалась через легитимный процесс MsMpEng.exe.

По нашим оценкам, злоумышленникам удалось зашифровать файлы 60 клиентов Kaseya, использующих локальную версию платформы. Многие из них являются поставщиками управляемых услуг и с помощью VSA управляют сетями других организаций, к которым группировка REvil также смогла получить доступ. Всего, по данным Kaseya, от действий злоумышленников пострадало около 1500 компаний-заказчиков.

На момент публикации нашего анализа ситуации сервисы аналитики угроз «Лаборатории Касперского» зафиксировали более 5000 попыток атак в 22 странах мира.

Уязвимости PrintNightmare

В июле компания Microsoft сообщила о двух уязвимостях в диспетчере печати Windows — CVE-2021-1675 и CVE-2021-34527 (также известных под общим названием PrintNightmare). Они позволяют злоумышленникам, используя учетную запись обычного пользователя, захватить контроль над сервером или компьютером клиента, на котором запущен диспетчер. Поскольку диспетчер печати по умолчанию включен на всех машинах Windows, в том числе на контроллерах доменов, уязвимости потенциально представляют большую опасность.

Кроме того, из-за недопонимания между группами исследователей проверка концепции эксплойта для PrintNightmare была опубликована в сети. Сотрудники, сделавшие это, были уверены, что июньский выпуск обновлений безопасности устранил уязвимости, поэтому решили поделиться результатами своей работы с экспертным сообществом. Однако, хотя компания Microsoft и выпустила патч для CVE-2021-1675, уязвимость PrintNightmare оставалась открытой до самого июля. Проверку концепции эксплойта быстро удалили, но пользователи уже успели скопировать ее множество раз.

CVE-2021-1675 — это так называемая уязвимость эскалации привилегий. Она позволяет злоумышленникам создавать и использовать вредоносные файлы DLL, чтобы повысить свой уровень прав в системе. Однако это возможно лишь в том случае, если у них уже есть прямой доступ к уязвимому компьютеру.

CVE-2021-34527 значительно опаснее — это уязвимость удаленного выполнения кода (RCE), позволяющая удаленно выполнять DLL-инъекции.

Более подробное техническое описание обеих уязвимостей можно найти здесь.

Участники группировок Grandoreiro и Melcoz арестованы

В июле Министерство внутренних дел Испании объявило о задержании 16 человек, связанных с преступными группами Grandoreiro и Melcoz (также известной как Mekotio). Обе они сформировались в Бразилии и ранее входили в тетраду Umbrella, которая уж несколько лет действует в Латинской Америке и Западной Европе.

Банковские троянцы Grandoreiro изначально также появились в Бразилии, а затем распространились в других странах Латинской Америки и в Западной Европе. Группа постоянно совершенствует свои методы и сейчас, по данным наших исследований, работает по модели «вредоносное ПО как услуга» (MaaS). Данные телеметрии говорят о том, что с января 2020 года троянец Grandoreiro в основном атаковал пользователей в Бразилии, Мексике, Испании, Португалии и Турции.

Зловред Melcoz был активен в Бразилии примерно с 2018 года, а затем начал действовать и в других странах. В 2018 году он атаковал банковские активы в Чили, а позже в Мексике. Вероятно, жертвы были и в других странах, поскольку некоторые из пострадавших банков выполняли международные операции. Как правило, Melcoz использует скрипты AutoIt или VBS, добавленные в файлы MSI, чтобы с помощью подмены DLL запускать вредоносные библиотеки, избегая обнаружения защитными решениями. Он крадет пароли из браузера или из памяти устройства, предоставляя злоумышленникам удаленный доступ к каналам интернет-банкинга. У зловреда также есть модуль для кражи адресов биткоин-кошельков. Данные нашей телеметрии подтверждают, что с января 2020 года Melcoz активно атаковала пользователей в Бразилии, Чили, Испании и других странах.

Поскольку оба семейства зловредов родом из Бразилии, члены группировки, задержанные в Испании, оказались простыми операторами. Так что создатели Grandoreiro и Melcoz, вероятно, продолжат разрабатывать вредоносное ПО и вербовать новых участников в тех странах, на которые они хотят расширить свое влияние.

Геймеры, берегитесь!

Ранее в этом году мы обнаружили подпольный форум, посвященный новой вредоносной программе под названием BloodyStealer. Она предназначена для кражи паролей, файлов cookie, данных автозаполнения и банковских карт, информации об устройствах, снимков экрана, файлов uTorrent с компьютера и из клиента, а также сессий и логов из клиентов Bethesda, Epic Games, GOG, Origin, Steam, Telegram и VimeWorld.

Реклама BloodyStealer (Источник: https://twitter.com/3xp0rtblog)

Создатели зловреда, жертвами которого уже стали пользователи в Европе, Латинской Америке и Азиатско-Тихоокеанском регионе, используют модель распространения «вредоносное ПО как услуга». Таким образом любой желающий может приобрести его по скромной цене около 10 долл. США в месяц (или около 40 долл. США за «бессрочную лицензию»).

Помимо основного функционала, зловред оснащен инструментами защиты от анализа. Украденная им информация в виде ZIP-архива пересылается на командный сервер, защищенный от DDoS-атак. Для доступа к этим данным киберпреступники используют довольно простую панель управления или Telegram.

BloodyStealer — один из многих инструментов для кражи учетных данных геймеров, доступных в теневом интернете. Более того, на подпольных форумах можно увидеть предложения о размещении вредоносных ссылок на популярных веб-сайтах или купить инструменты для автоматического создания фишинговых страниц. С помощью таких средств киберпреступники могут собирать для монетизации огромные объемы учетных данных. В теневом интернете можно встретить множество предложений, связанных с игровыми аккаунтами.

Одно из самых популярных — так называемые логи, огромные базы данных для входа в аккаунты. В объявлениях о продаже злоумышленники указывают тип данных, географию пользователей, время сбора логов и другие подробности. Так, в примере ниже участник подпольного форума продает архив объемом в 65 600 записей, 9000 из которых принадлежат пользователям из США и еще 5000 — жителям Индии, Турции и Канады. Стоимость всего архива — 150 долл. США (то есть около 0,2 цента за одну запись).

Киберпреступники могут использовать скомпрометированные аккаунты игроков для отмывания денег, распространения фишинговых ссылок или ведения нелегального бизнеса.

Подробнее о BloodyStealer и других угрозах для геймеров можно прочитать здесь и здесь.

Троянец Triada в модификации для WhatsApp

Не все пользователи довольны функционалом официального приложения WhatsApp. Поэтому некоторые из них устанавливают модифицированные клиенты, чтобы получить доступ к дополнительным функциям. Создатели таких модификаций часто встраивают в них рекламные модули сторонних разработчиков, тем самым давая злоумышленникам возможность незаметно внедрять в приложение вредоносный код.

Так и случилось недавно с популярной модификацией FMWhatsApp. В версию 16.80.0 разработчики добавили сторонний рекламный модуль, содержащий троянец Triada (антивирус «Лаборатории Касперского» для мобильных устройств определяет его как Trojan.AndroidOS.Triada.ef). Этот зловред выполняет функции посредника: сначала собирает данные об устройстве пользователя, а затем, ориентируясь на эту информацию, загружает один из нескольких других троянцев. Описание их функций вы найдете в нашем анализе зараженной модификации FMWhatsApp.

Банковский троянец QakBot

Банковский троянец QakBot (также известный как QBot, QuackBot и Pinkslipbot) был впервые обнаружен в 2007 году. С тех пор разработчики продолжали активно поддерживать и развивать его. Сейчас QakBot является одним из самых активных банковских троянцев в мире. Его основное предназначение — кража учетных данных (логинов, паролей и т. д.) для входа в финансовые сервисы, однако он также может отслеживать выполнение финансовых операций, распространяться и устанавливать вредоносное ПО для получения максимальной прибыли от скомпрометированных организаций.

Помимо этого, троянец перехватывает нажатия клавиш, действует как бэкдор и использует защиту от обнаружения. Из новейших его функций стоит отметить обнаружение виртуальных сред, регулярное самообновление и изменение схем шифрования и упаковки бинарного кода. Кроме того, QakBot старается защитить себя от анализа и отладки, выполняемых специалистами или с помощью автоматизированных инструментов. Еще одна интересная деталь — возможность кражи электронных писем. Полученную информацию злоумышленники используют для целевых рассылок: она помогает усыпить бдительность жертвы и заставить ее открыть вредоносное письмо.

Известно, что QakBot распространяется в основном через спам. В некоторых случаях к письмам прилагаются документы Microsoft Office — отдельно или в защищенном паролем архиве. Документы содержат макросы, а пользователям предлагается открыть вложение, которое якобы содержит важную информацию (например, счет-фактуру). В других письмах могут быть ссылки на вредоносные страницы.

Однако есть еще один вектор заражения, который предусматривает передачу вредоносной полезной нагрузки QakBot на компьютер жертвы с помощью другого вредоносного ПО, установленного на скомпрометированную машину. Как правило, злоумышленники выбирают тот вектор, который считают наиболее действенным для конкретной организации. Для этого многие из них заранее собирают и анализируют информацию о своих целях.

Мы проанализировали статистику атак QakBot, сформированную с помощью Kaspersky Security Network (KSN) — решения, которое собирает и обрабатывает обезличенные данные, добровольно предоставленные пользователями продуктов «Лаборатории Касперского». За первые семь месяцев 2021 года наши продукты выявили 181 869 попыток скачать или запустить QakBot. Это меньше, чем за период с января по июль 2020 года, однако количество пострадавших пользователей выросло по сравнению с прошлым годом на 65% — с 10 493 до 17 316 человек.

Количество пользователей, пострадавших от атак QakBot в период с января по июль 2020 и 2021 гг. (скачать)

Подробнее о результатах нашего анализа читайте здесь.

Развитие информационных угроз в третьем квартале 2021 года

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике