Фрагмент кода на сайте Центральной Тибетской Администрации (правительства Тибета в изгнании) перенаправляет посетителей, использующих язык CN (упрощенный китайский), на ресурс с Java-эксплойтом, загружающим на компьютеры пользователей бэкдор, предназначенный для проведения целевых атак класса APT (Advanced Persistent Threat). Для справки: на сайте утверждается, что «Центральная тибетская администрация (ЦТА) Его Святейшества Далай-ламы является преемником правительства независимого Тибета». Поскольку выбор ресурса для размещения вредоносного кода никак не назовешь стандартным, попытаемся разобраться, что к чему.
Атака имеет узконаправленный целевой характер: внедренный в код сайта плавающий фрейм (iframe) перенаправляет посетителей сайта xizang-zhiye(точка)org (это версия основного сайта, переведенная на упрощенный китайский – CN – язык) на ресурс с Java-эксплойтом, загружающим на компьютер жертвы бэкдор. На английской и тибетской версиях сайта данный фрейм отсутствует – он есть только на китайской версии (пожалуйста, воздержитесь от ее посещения). По нашим сведениям, немногочисленные компьютеры, подвергшиеся атаке на данный момент, находятся на территории Китая и США, однако не исключено, что есть и другие жертвы. Распространяемый в ходе этой атаки Java-эксплойт содержится в файле YPVo.jar (edd8b301eeb083e9fdf0ae3a9bdb3cd6) размером 212 КБ. Эксплойт извлекает, сохраняет и запускает бэкдор – исполняемый файл aMCBlHPl.exe (a6d7edc77e745a91b1fc6be985994c6a) (win32) размером 397 КБ, детектируемый продуктами «Лаборатории Касперского» как Trojan.Win32.Swisyn.cyxf. Бэкдоры из семейства Swisyn зачастую применяются в целевых атаках класса APT, и здесь мы имеем дело именно с таким случаем.
Судя по всему, данный Java-эксплойт нацелен на достаточно старую уязвимость CVE-2012-4681, что достаточно странно. В августе прошлого года киберпреступники распространяли файлы Gondzz.class and Gondvv.class, содержавшие именно этот эксплойт к CVE-2012-4681, бывшей на тот момент 0day-уязвимостью. На снимке экрана выше показан код эксплойта к CVE 4681, а также код, присваивающий jvm SecurityManager значение null чтобы отключить проверку политик Java, а затем выполняющий метод Payload.main. Метод Payload.main реализует несложную, но интересную функцию, позволяющую атакующим загрузить по https вредоносный функционал, зашифрованный с помощью шифра AES, и расшифровать его, используя встроенные в Java стандартные библиотеки шифрования AES. Отметим, что в данном случае настройки вредоносной программы не предусматривают применение этого кода. Вместо этого парой строк в конфигурационном файле прописана распаковка и выполнение содержащегося в jar-файле ресурса – исполняемого exe-файла (win32). Сам бэкдор детектируется большинством антивирусов как один из вариантов троянцев для кражи паролей к онлайн-играм, что абсолютно неверно. Его сервер управления находится по адресу news.worldlinking.com (59.188.239.46).
Эта группа злоумышленников без лишнего шума проводит подобные атаки типа watering hole уже по меньшей мере пару лет. Она же занимается рассылкой целевых фишинговых сообщений (spearphishing) различным группам, в том числе тибетским активистам. По данным нашего облачного сервиса KSN (Kaspersky Security Network), подобная активность началась не позднее горячей поры конца 2011 года. Кроме того, по данным KSN, с этого же сервера распространялись нацеленные на компьютеры Apple Java-эксплойты, использующие более новую уязвимость CVE-2013-2423.
АПДЕЙТ: По-видимому, CN-версия сайта по адресу xizang-zhiye(точка)org очищена от вредоносных элементов, и за прошедшие сутки я не нашел свидетельств распространения вредоносного кода через этот ресурс. Судя по всему, администраторы почистили сайт рано утром во вторник по «своему» времени и, соответственно, вечером в понедельник по «западному» времени. Нет никаких оснований считать, что с тех пор он снова был взломан. Мы продолжим наблюдать за сайтом на предмет появления новых следов взлома.
Сайт Правительства Тибета в изгнании взломан в рамках крупномасштабной компании с применением атак типа Watering Hole