Фишинговая атака с применением труднодетектируемых бесфайловых зловредов FIN7 (тесно связанных с небезызвестной группой Carbanak), теперь направлена на рестораны.

«В этой кампании используются технологии ухода от обнаружения, которые мы раньше нигде не видели. Зловредам удается обойти большинство защитных решений», — пишут исследователи Morphisec Lab в своем отчете. По их мнению, данный зловред «особо опасен для компаний, поскольку его очень трудно обнаружить». На момент написания этого поста число детектов на VirusTotal документов, используемых для доставки зловреда, было равно нулю.

«Таким образом, атакующие способны успешно обойти статические детекты большинства защитных решений», — утверждает Майкл Горелик, вице-президент по исследованию и разработке Morphisec.

По данным исследователей, бесфайловые зловреды в настоящий момент атакуют рестораны в США. Целью атаки FIN7 является перехват контроля над системой и установка бэкдора, позволяющего при первом же удобном случае выкрадывать финансовую информацию. Развитие атаки происходит по типичному для бесфайловых атак сценарию. Сначала жертва получает персонализированное фишинговое письмо с приложением в виде .RTF- документа. А когда приложение открыто, активируется бесфайловая атака, передающая шелл-код (Meterpreter) под видом DNS-запросов.

Главная изюминка нового типа атаки – в том, как применяются DNS-запросы для передачи шелл-кода. «В этом новом варианте все DNS-запросы инициируются и исполняются исключительно из памяти – не так, как мы видели в предыдущих атаках с использованием PowerShell-команд», — отмечают исследователи Morphisec Lab.

В марте этого года бесфайловые атаки FIN7 фокусировались на финансовых и правительственных организациях. PowerShell скрипт открывал бэкдор и получал команды от C&C-сервера. Наблюдаемые сегодня атаки FIN7 отличаются от тех, что были зафиксированы в марте. По словам исследователей, использование DNS-запросов и шелл-кода позволяет злоумышленникам более эффективно избегать обнаружения, готовить будущие атаки и проникать туда, куда раньше проникнуть не удавалось. По данным OpenDNS, FIN7 сейчас весьма активен – в пике активности зловреда регистрируется более 10 тысяч DNS-запросов в час.

«Фаза шелл-кода для этой атаки уникальна. Она демонстрирует то, что способности злоумышленников постоянно совершенствуются. Именно по шелл-коду можно отличить эту кампанию от предыдущих атак FIN7 и других групп», — пишет Горелик.

Приложения, содержащиеся в фишинговых письмах, носят названия, соответствующие ресторанной тематике, например, «menu.rtf», «Olive Garden.rtf» или «Chick Fil A Order.rtf». «Вложенные .RTF-файлы используют OLE-объекты и в целом напоминают предыдущие атаки FIN7. Однако здесь вместо активации HTA (mshta.exe) по ссылке, происходит запуск обфусцированного JavaScript-кода», — сообщают исследователи.

При открытии .RTF-документа, жертва видит документ Word с крупной пиктограммой конверта, на котором написано «Активируйте содержимое двойным кликом». По словам исследователей, заражение происходит когда жертва дважды кликает на пиктограмму, а затем на «ОК» в появившемся диалоговом окне с предупреждением: «Содержимое, которое вы хотите открыть, собирается запустить скрытую в ней программу. Данная программа может, в том числе, нанести вред вашему компьютеру».

Внутри .RTF-документа находится сниппет JavaScript-кода, создающего и компилирующего задачу на исполнение второй фазы атаки с задержкой в одну минуту.

Горелик объясняет: «Эта задержка помогает обмануть поведенческий анализ, поскольку вторая стадия не выполняется напрямую из первой. Таким образом, шелл-код следующей фазы атаки FIN7 с использованием DNS-запросов запускается напрямую из памяти. Это позволяет успешно обойти поведенческий анализ ряда защитных решений».

Сниппеты шелл-кода передаются с DNS-запросами до тех пор, пока не будет завершена сборка зловредной нагрузки. По данным исследования, в последнем запросе к субдомену содержится строка ihc[.]stage[.]12019683[.]ns2[.]true-deals[.]com).

Дальше передается зашифрованный шелл-код второй фазы атаки. При ее дешифровке код дополнительно обфусцируется. В отчете говорится: «шелл-код удаляет префикс MZ из очень важной своей части. Этот префикс может свидетельствовать о том, что это dll, и ее удаление помогает избежать детектирования решениями, сканирующими память».

Завершением атаки является развертывание зловредной нагрузки, CobaltStrike Meterpreter – довольно распространенного инструмента среди злоумышленников и пентестеров. «Наличие Meterpreter на скомпрометированном компьютере позволяет злоумышленникам получить полный контроль над ним – извлечь любую информацию и, в том числе, о движении средств внутри организации», — отмечается в отчете исследователей.

Категории: Уязвимости

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *