Злоумышленники, стоявшие за APT-кампанией Red October, обнаруженной около двух лет назад, всплыли снова с новой кампанией, направленной частично на те же цели и использующей схоже сконструированные инструменты и целевые фишинговые электронные письма.

Red October появилась в январе 2013 года, и исследователи обнаружили, что злоумышленники атаковали дипломатов некоторых восточноевропейских стран, правительственные агентства и исследовательские организации зловредами, способными красть данные с десктопов, мобильных устройств и FTP-серверов. Хакеры имели в своем распоряжении различные инструменты, использовали уникальные идентификаторы жертвы и обладали эксплойтами для ряда уязвимостей. Атаки Red October начались с точно нацеленных фишинговых электронных писем, в некоторых рекламировалась продажа дипломатических автомобилей.

Новая кампания CloudAtlas, обнаруженная исследователями «Лаборатории Касперского», также использовала нацеленную приманку и атаковала некоторые из целей Red October. Исследователи полагают, основываясь на сходствах в тактике, инструментах и целях, что за обеими кампаниями может стоять одна и та же группа.

«В августе 2014 года некоторые из наших пользователей обнаружили целевую атаку с вариантом эксплойта CVE-2012-0157 и необычным набором зловредов. Мы провели быстрый анализ зловреда, который немедленно застопорился из-за определенных необычных вещей, не слишком распространенных в мире APT, — написали исследователи из «Лаборатории Касперского» в анализе атаки. — По крайней мере, одна из них тут же напомнила нам о Red October, которая использовала очень похоже названное письмо: «Diplomatic Card for Sale.doc». Когда мы начали углубляться в операцию, появилось больше деталей, подкрепляющих эту версию. Возможно, наиболее необычный факт состоит в том, что эксплойт Microsoft Office не пишет бэкдор Windows PE напрямую на диск. Вместо этого он записывает шифрованный скрипт Visual Basic и запускает его».

И Red October, и CloudAtlas нацелены на одних и тех же жертв. Не просто одни и те же организации, но те же компьютеры тех же организаций. В одном случае машина была атакована дважды за два последних года, один раз Red October и один CloudAtlas. Обе кампании атаковали цели в тех же странах: Россия, Беларусь, Казахстан и Индия. Кроме того, кампании используют схожие вредоносные инструменты.

«Вредоносные имплантаты CloudAtlas и Red October имеют очень схожую структуру, с загрузчиком и финальной начинкой, которая хранится в зашифрованном и сжатом виде во внешнем файле. Тем не менее имеются и важные различия, особенно в использованных криптографических алгоритмах — RC4 в Red October и AES в CloudAtlas», — сообщили исследователи «Лаборатории Касперского».

«Еще одно интересное сходство — использование алгоритмов сжатия в CloudAtlas и Red October. Обе вредоносные программы используют один и тот же код алгоритма сжатия LZMA. В CloudAtlas он используется для сжатия логов и декомпрессии расшифрованной нагрузки, загружаемой с сервера управления и контроля, а в Red October его использует плагин «планировщика» для декомпрессии исполняемой нагрузки с сервера управления и контроля», — пишут исследователи.

Управляющая инфраструктура кампании CloudAtlas кое в чем необычна. Злоумышленники используют учетные записи на шведском облачном провайдере CloudMe для связи со скомпрометированными машинами.

«Нападавшие загружают данные в учетную запись, которая скачивается имплантатом, расшифровывается и интерпретируется. Далее зловред загружает ответы обратно на сервер через тот же механизм», — сообщили исследователи.

Представители CloudMe написали в Twitter, что они работают над удалением управляющих учетных записей CloudAtlas.

«Да, мы постоянно удаляем все учетные записи, которые мы можем идентифицировать как вовлеченные в инфраструктуру apt cloudatlas», — сообщила компания.

Исследователи из Blue Coat также проанализировали новую кампанию, которую они обозначили как Inception, и обнаружили, что злоумышленники создали инструменты для компрометации различных мобильных платформ.

«Платформа продолжает эволюционировать. Исследователи Blue Coat недавно обнаружили, что злоумышленники создали зловреды для устройств на Android, BlackBerry и iOS для сбора информации у жертв, а также то, что они, видимо, планировали MMS-фишинговые кампании для атаки на мобильные устройства определенных людей. На данный момент Blue Coat наблюдает более чем за 60 провайдерами мобильной связи, такими как China Mobile, O2, Orange, SingTel, T-Mobile и Vodafone, задействованными в этих приготовлениях, но реальное число, скорее всего, гораздо больше», — написали Снорре Фарегланд (Snorre Fagerland) и Вейлон Гранж (Waylon Grange) из Blue Coat.

Изображение любезно предоставлено Kevin Dooley.

Категории: Вредоносные программы, Главное