Две недавние киберкампании с применением «бесфайловых» вредоносных программ удалось связать с конкретной хакерской группировкой.

Расследование этих целевых атак, проведенное экспертами «Лаборатории Касперского» и Cisco, показало, что в их ходе активно используются работающие из оперативной памяти зловреды и легальные инструменты для пентестинга. Целью этих кампаний является шпионаж и вывод денежных средств с банковских счетов организаций.

Анализируя новейшую аналогичную эскападу, исследователи из израильской ИБ-компании Morphisec обнаружили фреймворк, который засветился в атаках, использующих DNSMessenger и описанных Cisco, а также в серии атак с применением пентестера Meterpreter, расследуемых «Лабораторией Касперского». В своем отчете «лаборанты» отметили, что бестелесные зловреды — излюбленное оружие GCMAN и Carbanak, ответственной за кражу $1 млрд у банков (в FireEye называют ее FIN7).

После короткого обмена посланиями между Morphisec и новоявленным злоумышленником вредоносный фреймворк исчез из онлайн-доступа. По словам Омри Дотана (Omri Dotan) из Morphisec, исследователи пытались завоевать доверие автора атаки и даже обращались к нему по-русски, однако это не помогло: их собеседник быстро отключил C&C-инфраструктуру и удалил фреймворк.

«Высока вероятность, что мы правильно соотносим эти глобальные атаки с одним автором и данной платформой, — говорит Дотан. — Благодаря тому что мы вступили в контакт с ними, они все деактивировали и, скорее всего, свернули также все текущие операции. Теперь им придется перестроиться и начать все заново, с чистого листа».

В блог-записи Morphisec сказано, что фреймворк для проведения бесфайловых атак был обнаружен 8 марта, в ходе расследования нескольких схожих случаев целевого фишинга. Изучение C&C-сервера выявило артефакты, позволившие связать эти атаки с находками Cisco и «Лаборатории Касперского».

Согласно описанию Morphisec, новые атаки начинаются с узконаправленной рассылки писем с вложенным документом Word, который содержит вредоносный макрос. Если получатель, следуя подсказке, включит активное содержимое, макрос запустится и исполнит внедренную PowerShell-команду с помощью WMI-инструментария.

При отработке вредоносный PowerShell-скрипт Updater.ps1 прежде всего открывает бэкдор, а затем начинает выполнять команды, подаваемые с C&C-сервера. Этот агент также отключает режим защищенного просмотра, чтобы в дальнейшем макрос в документах мог исполняться автоматически, без вывода подсказки enable macro, требующей вмешательства пользователя.

На C&C были обнаружены дополнительные скрипты, запускающие на исполнение Mimikatz для извлечения паролей и хэшей из памяти, а также LaZagne (приложение с открытым исходным кодом для сбора идентификаторов с локальных дисков) и DNSMessenger. По словам Дотана, исследователи провели на C&C-сервере три дня и за это время смогли создать отпечатки для ряда артефактов во фреймворке, для программ шифрования и используемых IP-адресов. Эти результаты позволили усмотреть сходство новой атаки с другими аналогичными кампаниями.

«Когда расследование уже подходило к концу, злоумышленник связался с нами через шелл-код, — рассказывает Дотан. — Контакт был недолгим, в ходе диалога исследователи старались спровоцировать хакера на раскрытие личности. Мы даже пытались использовать русский язык, но в ответ получили: «По-английски, пожалуйста». Вскоре после этого последовали отключение командного сервера и полный демонтаж платформы».

По свидетельству Дотана, Morphisec предала гласности все обнаруженные ею артефакты, но вначале поделилась находками с израильским управлением по кибербезопасности.

Категории: аналитика, вредоносные программы, Главное

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *