Эксперты сообщили о направленной кибератаке на три американские компании в сфере ЖКХ. Злоумышленники, которые предположительно входят в спонсируемую неким государством группировку, пытались установить неизвестный ранее RAT-троян.

По данным специалистов, вредоносные сообщения рассылали с 19 по 25 июля — операторы кампании замаскировали их под письмо от одной из регулирующих организаций. В тексте адресату сообщали о провале сертификации и отправляли за подробностями в приложенный файл Word. Встроенные в документ макросы загружали и устанавливали RAT-троян, который получил название LookBack.

Архитектура и возможности трояна LookBack

Возможности написанного на C++ зловреда включают чтение системной информации, создание снимков экрана и выполнение команд, передвижение мыши, перезагрузку компьютера. Создатели трояна снабдили его несколькими модулями:

  • Средства коммуникации с удаленным сервером — прокси-утилита GUP и коммуникационный компонент SodomNormal, который передает ей на отправку данные от RAT. Прокси-утилита в свою очередь пересылает информацию злоумышленникам по HTTP-соединению.
  • Загрузчик на основе легитимной библиотеки libcurl.dll, в которую добавлена функция работы с командами оболочки.
  • Основной компонент SodomMain, обеспечивающий удаленный контроль над компьютером.

Как рассказали аналитики, преступники постарались замаскировать свое присутствие на компьютерах жертвы. Название процесса GUP совпадает с одной из программ, с которой работает Notepad++. Этой же цели служит вышеупомянутая libcurl.dll — преступники превращают ее в средство доставки RAT, добавляя одну новую функцию.

Атрибуция атак LookBack

Аналитики связали инциденты с группировкой APT10, которая в 2018 году провела похожие атаки на нескольких японских бизнесменов. Такой вывод эксперты сделали на основе использованных Word-макросов, в которых используется та же техника маскировки, что и в прошлогодних случаях.

Еще одно свидетельство в пользу этой версии — прокси-механизм LookBack, который напомнил исследователям инструменты APT10. Тем не менее, поскольку ни сам троян, ни использованная инфраструктура ранее не были замечены в кибератаках, от однозначных выводов специалисты воздержались.

«Хотя окончательная атрибуция потребует дальнейшей работы, угроза подобных кампаний для сферы ЖКХ несомненна, — указали эксперты. — Судя по фишинговым посланиям, злоумышленники хорошо знакомы с устройством этой отрасли, что позволило им составить убедительные письма. Такие кампании угрожают всем, кто пользуется услугами атакованных организаций, поэтому и влияние их следует оценивать шире, чем [в случае единичных инцидентов в рамках отдельных инфраструктур]».

Ранее специалисты обнаружили модульный троян GreyEnergy, который прицельно атакует производственные и энергетические предприятия. Кампании с его участием прошли в Польше и на Украине, где зловред собирал информацию о внутреннем устройстве промышленных IT-инфраструктур.

Категории: Вредоносные программы, Главное, Хакеры