Эксперты Unit 42 обнаружили фишинговую атаку на правительственные организации Великобритании, Испании, России и США. Несколько технических ошибок преступников позволили аналитикам связать вредоносную кампанию с пакистанской группировкой Gorgon.

Расследование началось 16 июля, когда специалисты зарегистрировали фишинговую атаку на одну из правительственных организаций в США. Письма содержали три образца вредоносного ПО, замаскированные под RTF- и Excel‑документы.

Целью злоумышленников было получить удаленный контроль над компьютерами жертв, чтобы выполнять на них сторонний код, перехватывать данные и устанавливать программы.

Атака развивалась в нескольких направлениях. Файлы RTF эксплуатировали уязвимость CVE‑2012‑0158 и загружали RAT из семейства Quasar. Документы Excel содержали сторонний код, скрытый в форме для заполнения данных. Если пользователь давал разрешение на выполнение макросов, скачивался Crimson Downloader и доставлял другие виды вредоносного ПО.

Специалисты изучили IP-адреса исходящих запросов загрузчика и обнаружили сервер с 84 семействами зловредов и набором разнообразных скриптов.

Эксперты проанализировали привязанные к троянам адреса электронной почты. Один из них принадлежал участнику хакерского форума, причем ник владельца совпадал с URL вредоносного репозитория. Профиль также раскрыл возраст предполагаемого преступника — 27 лет.

Аналитики сравнили онлайн-активность подозреваемого с временем атаки и выяснили, что во время инцидента он задавал вопросы об уязвимостях офисного пакета Windows. Таким образом, у специалистов не осталось сомнений в его связи с организаторами атак.

Сравнив адрес сервера с обнаруженными в ходе прошлых нападений IP, эксперты предположили, что за кампанией стоит пакистанская группировка Gorgon. Доказательства этого по ошибке предоставили сами организаторы кампании.

Во время атаки в феврале 2018 года Gorgon использовала для связи с управляющим сервером короткие ссылки bit.ly. Однако злоумышленники не учли, что статистика переходов по преобразованным URL находится в публичном доступе. Выяснилось, что адреса, замеченные во время июльской кампании, совпадают с IP, которые преступники использовали во время прошлого нападения.

Эксперты отмечают, что несмотря на невысокую техническую подготовку и ошибки, преступникам удается достичь своих целей. Так, в феврале жертвами злоумышленников стали 133 тысячи человек.

«Со временем они могут эволюционировать и будут использовать все новые методы, чтобы доставить зловреды на компьютеры жертв, — предположил Джош Грюнцвейг (Josh Grunzweig), старший исследователь Unit 42. — Мы уже видели на примере других групп, как по мере приобретения опыта они усиливают свою защиту, чтобы оставлять меньше улик и затруднять обнаружение».

Категории: Хакеры