Злоумышленники опробуют пакет эксплойтов Capesand, находящийся в стадии активной разработки. Анализ показал, что новый инструмент заимствует исходные коды схожего проекта, выложенные в открытый доступ на GitHub пять лет назад.

Эксплойт-пак Capesand впервые засветился в ходе недавней malvertising-кампании, нацеленной на распространение троянов DarkRAT и njRAT. По словам наблюдателей из Trend Micro, в середине октября для доставки зловредов использовались эксплойты к Adobe Flash и Internet Explorer из набора RIG, а к концу месяца авторы атак начали экспериментировать с Capesand. В качестве приманки злоумышленники использовали копию некой блог-записи о блокчейне, в которую они внедрили скрытый фрейм для загрузки вредоносной страницы.

Код Capesand оказался весьма примитивным в сравнении с другими эксплойт-паками. Его авторы взяли за основу давний проект с открытым исходным кодом Demon Hunter, из которого позаимствовали почти все технологии, включая встраивание вредоносных кодов, их обфускацию и упаковку. При этом плагиаторы произвели апгрейд, включив в свой пакет новые эксплойты. Исследователи обнаружили в арсенале Capesand два эксплойта к Adobe Flash (CVE-2018-4878 и CVE-2018-15982) и два — к IE (CVE-2018-8174 и CVE-2019-0752). Последний был впервые замечен в реальных атаках минувшим летом — на тот момент злоумышленники использовали новый эксплойт для внедрения бэкдора SLUB через два сайта по методу watering hole.

Дальнейший мониторинг атак Capesand показал, что он также эксплуатирует еще одну уязвимость в IE — CVE-2015-2419, а указанная в исходниках CVE-2019-0752 пока не используется. По всей видимости, авторы нового инструмента еще не успели интегрировать все эксплойты, которые они планируют пустить в ход.

Примечательно, что код Capesand на стороне клиента не содержит эксплойтов, а обращается за ними на свой сервер, используя API. В запросе он указывает имя эксплойта, его URL (из конфигурационного файла), IP-адрес жертвы и данные User Agent. Вся эта информация шифруется заданным AES-ключом, который сервер проверяет перед тем, как отдать полезную нагрузку.

После отработки эксплойта на машину жертвы загружается файл mess.exe; в ходе тестирования также наблюдалась попытка эксплуатации уязвимости CVE-2018-8120 для повышения привилегий на Windows. Вслед за этим следовало исполнение njcrypt.exe — многократно обфусцированного приложения на .NET, отвечающего за доставку целевого зловреда. В случае Trend Micro им оказался njRAT версии 0.7d.

Категории: Аналитика, Вредоносные программы, Уязвимости