На закрытом подпольном форме обнаружена вредоносная программа-дроппер, ориентированная на конкретные мишени. Судя по всему, она является производным от Furtim — зловреда, обнаруженного два месяца назад.

В своем отчете исследователи из SentinelOne уточнили, что целью дроппера, нареченного SFG, является как минимум одна неназванная европейская компания, специализирующаяся в сфере электроэнергетики. Анализ образца показал, что данный зловред, скорее всего, творение, спонсированное государством и предназначенное для использования на начальном этапе целевой атаки.

SFG прежде всего старается избежать обнаружения: он прекращает исполнение, если запуск произведен в виртуальной среде или песочнице, а также способен обходить антивирусы.

Боевой арсенал нового зловреда включает два эксплойта для уже пропатченных уязвимостей повышения привилегий в Windows (CVE-2014-4113 и CVE-2015-1701), а также технологию обхода ограничения прав пользователей Windows (UAC). «Осуществив все проверки, он повышает привилегии и регистрирует скрытый бинарник, который сохраняется на жесткий диск и запускается на ранней стадии загрузки системы, — рассказывает старший ИБ-исследователь в SentinelOne Джозеф Лэндри (Joseph Landry). — Он педантично ищет и удаляет наличные антивирусы на целевой машине, затем загружает в папку Windows еще один компонент и запускает его на исполнение во время входа пользователя в систему».

Подвергнутый анализу образец готовит почву для установки Furtim — даунлоудера, обнаруженного экспертами enSilo. Отчет об этом зловреде был опубликован в минувшем мае. Согласно enSilo, у Furtim имеются три полезные нагрузки: утилита, отключающая режимы энергосбережения на Windows с целью сохранения связи с C&C-сервером; похититель информации Pony, а также файл, который отсылает на C&C список ИБ-процессов, запущенных на зараженной машине. Назначение этого файла пока не совсем ясно: зловред теоретически удаляет все имеющиеся антивирусы еще до инсталляции.

В случае с образцом, найденным SentinelOne, эти командные серверы оказались отключены, и выявить другие нагрузки или команды не удалось. Лэндри полагает, что SFG применяется для обеспечения развития масштабной атаки. «Это дает им точку входа в сеть, откуда они могли бы двигаться дальше и атаковать другие системы либо проводить разведку, — говорит исследователь. — Мы пока не видим, чтобы они что-то атаковали, но именно так происходит первичное внедрение. В отсутствие предупреждений от антивируса они смогут выполнить любой код».

Число потенциальных жертв, по словам главы ИБ-исследований SentinelOne Уди Шамира (Udi Shamir), определить пока трудно. «Я не располагаю конкретными цифрами по масштабам заражения, однако этот образец был разработан скорее для целевых атак, чем для массового инфицирования (и вновь это лишь предварительная оценка), — заявил эксперт. — Этот сэмпл, судя по всему, нацелен на крупные предприятия и организации и, возможно, уже некоторые из них заразил».

Поскольку вредоносный код закрепляется в системе подобно руткиту, Лэндри полагает, что от него будет трудно избавиться. «Он выполнен очень профессионально, и это видно не только по технологии удаления антивирусов, но и по самому коду, — признал исследователь. — API-интерфейсы здесь малоактивны, доступ к ним обычно закрыт. Его создатель хорошо разбирается в работе Windows, знаком с изменениями, привнесенными за последние годы. Очень похоже, что это спонсированный государством проект. Обычным преступникам не нужна столь высокая эффективность».

Категории: Аналитика, Вредоносные программы