Как минимум с января неизвестные, хорошо упакованные хакеры атакуют мишени в России с помощью программы-шпиона FINSPY, загружаемой через эксплойт к уязвимости нулевого дня в Office и WordPad, которую Microsoft пропатчила во вторник.

Эта же брешь используется криминальными элементами для получения финансовой выгоды посредством засева зловреда LATENTBOT, нацеленного на кражу учетных данных. Имена жертв исследователи не назвали, однако полагают, что эксплойт был взят из того же источника.

«По всей видимости, данную уязвимость и созданные для нее эксплойты взяли на вооружение многие инициаторы абсолютно разных кампаний, — заявил Клаудио Гуарньери (Claudio Guarnieri), штатный IT-специалист в Amnesty International и неизменный участник исследований в Citizen Lab. — Это не может не вызвать подозрения, что эксплойты были получены из одного источника». Гуарньери некогда проводил независимые расследования кампаний на основе FINSPY и FinFisher.

Уязвимость нулевого дня в Microsoft Office (CVE-2017-0199), преданная гласности неделю назад, также используется для распространения банковского троянца Dridex. Поскольку эта брешь присутствует во всех версиях Office, она является привлекательным вектором для авторов атак.

«Эксплойт, позволяющий исполнить код с помощью документов в формате новейших версий Office и даже на самой новой версии Windows, является превосходным ресурсом для инициатора атаки, особенно с целью шпионажа, — подтвердил Гуарньери. — Доставка эксплойта через документы — излюбленная тактика в шпионских кампаниях. Отсутствие необходимости использовать макросы или другие менее надежные техники — это большое преимущество и, возможно, гораздо более эффективное».

Исследователи из FireEye обнаружили первую атаку с использованием CVE-2017-0199 для доставки FINSPY 25 января. Злоумышленники распространяли спам-письма с вредоносным вложением, якобы учебно-методическим пособием Министерства обороны РФ. При отработке эксплойта целевой зловред закачивается вместе с маскировочным документом с IP-адреса 95[.]141[.]38[.]110. По свидетельству экспертов, загруженная в ходе тестирования версия FINSPY была сильно обфусцирована, что не позволило получить представление о командной инфраструктуре.

Поставщиком FINSPY является англо-немецкая Gamma Group, имеющая высокопоставленных клиентов в разных странах, но пока неизвестно, каким образом его заполучили авторы текущих атак — покупкой лицензии или на черном рынке. «Поскольку мы точно не знаем, кто стоит за этими атаками, трудно обвинять в них какое-либо государство или криминальную группу, — говорит Гуарньери. — Вполне возможно, что продавец [FINSPY] использует различные каналы для своей клиентуры».

Через полтора месяца, 4 марта, исследователи обнаружили itw документы, использующие ту же 0-day для загрузки другого зловреда — LATENTBOT. Последний, по свидетельству FireEye, всегда использовался лишь с целью получения финансовой выгоды, хотя его функциональность позволяет не только воровать идентификаторы, но также стирать жесткий диск, обеспечивать удаленный доступ к рабочему столу и деактивировать антивирусы. Авторы мартовских вредоносных рассылок полагались на социальную инженерию, присваивая вложениям-ловушкам провокационные имена вроде hire_form («Анкета нового сотрудника») и !!!!URGENT!!!!READ!!! («Для ознакомления — прочесть безотлагательно»).

В минувший понедельник в FireEye заметили, что злоумышленники сменили полезную нагрузку и начали раздавать программу-лоудер TERDOT, которая загружает клиент Tor и затем обращается к onion-сайту.

«Общие артефакты в сэмплах FINSPY и LATENTBOT говорят о том, что при их создании применялась одна и та же система сборки, то есть эксплойт нулевого дня, используемый в криминальных и шпионских операциях, был предоставлен одним и тем же источником, — заключают эксперты. — Время последнего изменения вредоносных документов в обоих случаях одинаково — 2016–11–27 22:42:00».

Категории: аналитика, вредоносные программы, спам

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *