Эксперты «Лаборатории Касперского» проанализировали целевые атаки APT-группы Dropping Elephant, деятельность которой они наблюдают с ноября прошлого года. Мишенями текущей шпионской кампании, известной также под именами Chinastrats и Patchwork, являются работающие в азиатских странах чиновники и дипломаты, вовлеченные во внешние связи с Китаем.

По свидетельству исследователей, Dropping Elephant полагается исключительно на социальную инженерию и малобюджетных зловредов, а также на эксплойты для полузабытых, давно пропатченных уязвимостей в Windows. «Несмотря на столь простые и доступные инструменты и эксплойты, данная группа, похоже, умеет извлекать ценные разведданные», — признал Виталий Камлюк, руководитель исследовательского центра «Лаборатории» в Азиатско-Тихоокеанском регионе.

Одним из основных элементов целевых атак Dropping Elephant являются email-рассылки, осуществляемые в два приема. Вначале отправляется письмо с безобидным вложением, которое при открытии отсылает на C&C пинг-запрос с системными данными мишени. После этого ей направляется второе письмо с вложенным документом Microsoft Word или PowerPoint, который содержит эксплойт к CVE-2012-0158 либо CVE-2014-6352 соответственно.

«В некоторых случаях применяется атака по методу «хищник у водопоя»: жертвам направляется ссылка на сайт, который замаскирован под новостной портал, освещающий внешнюю политику Китая», — отметили также исследователи. Атакующие при этом заимствуют новости с легитимных сайтов, показывая посетителю лишь фрагменты; если тот захочет посмотреть новость целиком, ему предложат загрузить файл с вредоносной нагрузкой.

«Содержимое вредоносных PPS основано на тщательно отобранных подлинных новостных заметках, посвященных широко обсуждаемым геополитическим событиям и способных убедить получателя открыть документ, — свидетельствуют «лаборанты». — Такие атаки приводят к массовым заражениям». Для повышения рейтинга вредоносных ссылок в поисковых системах и охвата большей аудитории злоумышленники открыли ряд аккаунтов в Google+, Facebook и Twitter.

В результате отработки эксплойта на машину жертвы загружается исполняемый файл AutoIT, запакованный с помощью UPX (специализированного упаковщика с открытым исходным кодом). При запуске AutoIT загружает с C&C-сервера дополнительные компоненты, предназначенные для кражи документов и данных. Как показал анализ, исполняемый AutoIT содержит внедренный скрипт AutoIT3, который и осуществляет загрузку, а также отправляет злоумышленникам информацию о зараженной системе и украденные из Google Chrome учетные данные.

Из загружаемых компонентов внимание исследователей привлек модуль для кражи файлов. При запуске он скачал еще один образец вредоносного ПО, который многократно просматривал директории в поисках файлов с расширениями .doc, .docx, .ppt, .pptx, .pps, .ppsx, .xls, .xlsx и .pdf, а затем отправлял результаты сбора на C&C-сервер.

Просмотрев данные о соединениях и регистрации на одном из C&C-серверов Dropping Elephant, исследователи определили, что атакующие часто заходили на него с IP-адресов индийского интернет-провайдера. Злоумышленники также говорят на индийских языках, а атаки в основном проводятся в рабочее время, соответствующее часовому поясу Индии. Тем не менее в «Лаборатории» считают, что всех этих признаков недостаточно, чтобы со стопроцентной уверенностью заявить, что данная APT-группа базируется в этой стране.

Судя по всему, Dropping Elephant пока не собирается сворачивать шпионские операции. Напротив, число участников группы растет, об этом говорит увеличившийся период активности. «В целом деятельность данной группы показывает, что готовые и недорогие наборы инструментов для проведения атак могут дать высокий эффект в комбинации с качественными элементами социальной инженерии», — заключают исследователи.

Категории: Аналитика, Вредоносные программы, Главное, Хакеры