Последние несколько недель исследователи из Check Point наблюдают подозрительную активность, направленную против российских организаций. Атаки носят скоординированный характер, а используемые при этом тактические приемы, техники и инструменты указывают на Lazarus — APT-группу, предположительно имеющую северокорейские корни.

На прошлой неделе похожая киберкампания была также зафиксирована в Южной Корее, однако анализ показал, что тактика, инструментарий и способы проведения этих атак совсем другие. В Check Point предположили, что совпавшие по времени операции проводят две подгруппы Lazarus, известные в ИБ-сообществе как Andariel и Bluenoroff. Первая сфокусирована на южно-корейских организациях и правительственных структурах, вторая действует шире, притом стремится извлечь из атак финансовую выгоду.

В ходе текущей кампании эксперты обнаружили множество вредоносных документов Microsoft Office, созданных как приманки для российских компаний разного профиля. Все они содержат одинаковые метаданные (имя автора — home, язык кодовой страницы — корейский) и были загружены на VirusTotal из России в конце января.

Цепочка заражения начинается с распаковки ZIP-файла, содержащего два документа: маскировочный PDF и вредоносный Word или Excel с макросом — пользователя убеждают включить его с помощью изображения с нечитаемым текстом. Если уловка сработала, с Dropbox загружается VBS-скрипт; он в свою очередь скачивает с удаленного сервера CAB-файл, замаскированный под JPEG-картинку, а затем, используя Windows-утилиту expand.exe, извлекает целевую нагрузку — бэкдор.

Исследователи также отметили, что в какой-то момент атакующие решили отказаться от второй ступени заражения и внесли соответствующие коррективы в свой макрос.

Устанавливаемый в результате атаки многофункциональный бэкдор уже известен ИБ-сообществу. Эксперты американской Группы быстрого реагирования на киберинциденты (US-CERT) называют его KEYMARBLE. По сути это инструмент удаленного администрирования, который в данном случае помогает оператору получить информацию с зараженной машины. После запуска он пытается установить соединение с C&C-сервером на порту 443, используя вшитый в код IP-адрес (194[.]45[.]8[.]41).

В режиме ожидания зловред повторяет попытки подключения каждые полчаса. Получив команду, он выходит из цикла и приступает к ее выполнению — сбору и отправке данных, завершению процессов, перезаписи и удалению файлов и т. п.

Примечательно, что для коммуникаций данный вариант KEYMARBLE использует SSL, а команды ему подаются в два приема: вначале высылается сообщение с указанием длины данных, затем — код команды.

Категории: Аналитика, Вредоносные программы, Главное