Исследователи из ИБ-компании Forcepoint идентифицировали RAT-троянца, который, судя по дате компиляции, используется в дикой природе не менее полугода, причем очень ограниченно, и умеет ловко уходить от обнаружения.

По свидетельству экспертов, данный Windows-зловред, нареченный Felismus, имеет модульную архитектуру и написан весьма профессионально. Его функциональные возможности типичны для троянцев этого вида: Felismus способен выгружать и загружать файлы, запускать их на исполнение, самостоятельно обновляться и выполнять шелл-команды.

Примечательно, что авторы нового зловреда постарались как можно лучше оградить его от анализа и скрыть рабочие коммуникации. Тестирование показало, что Felismus умеет распознавать многие антивирусные продукты и противодействовать детектированию. Его исполняемые коды и DLL хорошо защищены от анализа и реверс-инжиниринга, а большинство сообщений, которыми троянец обменивается с C&C, шифруются дважды и разными ключами.

Первые образцы Felismus, подвергнутые анализу, были замаскированы под AdobeCMS.exe. На момент обнаружения эти имитации детектировались лишь 9 из 60 антивирусов из коллекции VirusTotal, в настоящее время их распознают как вредоносные немногим более половины.

При запуске все сэмплы создавали невидимое окно и регистрировали для него функцию WindowProc в обеспечение основных вредоносных действий: загрузки файла с удаленного сервера, создания текстового файла на локальной машине, исполнения файла, исполнения шелл-команды и сохранения результатов на диске, загрузки результатов исполнения предыдущей cmd.exe на удаленный сервер. Список антивирусных продуктов, процессы которых отслеживал тестируемый Felismus, содержал 45 позиций.

Многие внутренние идентификаторы, используемые троянцем (ID жертвы, ID модулей, ключи шифрования), созданы на основе MD5-хэшей других компонентов. Выявлен лишь один криптоключ, читаемый человеком, — Tom&Jerry@14here; он и подсказал экспертам уместное имя: «felis» и «mus» на латыни означают «кошка» и «мышь» (как род). Для шифрования C&C-коммуникаций Felismus использует как минимум три метода шифрования, в зависимости от типа сообщений. Командная инфраструктура зловреда активна и, по всей видимости, прилежно обслуживается.

Ряд доменов, ассоциированных с данной угрозой, возвращают поддельную страницу WordPress.org образца 2013 года, которая содержит ряд фальшивых данных, в частности неправильные номера телефонов в Гонконге и несуществующие физические адреса в качестве контактов. Email-адреса регистранта доменов, по данным Forcepoint, больше нигде не используются онлайн.

В ходе тестирования образец выполнил небольшое количество функций и оставил лишь несколько уникальных записей в системном журнале. Причин тому, по мнению экспертов, могло быть две: или киберкампания на тот момент стихла, или поведение данного сэмпла зависит от особенностей зараженной машины. Исследователи также заметили, что C&C-сервер Felismus блокирует один из выходных IP их компании.

Цели атакующих на настоящий момент неясны. Три из пяти доменов, ассоциированных с IP-адресом C&C, можно по имени соотнести с сектором финансовых услуг. Явных признаков связи Felismus с известными APT-кампаниями тоже не обнаружено. Необычное имя одной из папок, datas, и опечатка в имени функции, GetCurrtenUserName, могут говорить о том, что английский — не родной язык для авторов троянца. Проанализированные в Forcepoint сэмплы были, по всей видимости, созданы с использованием компилятора с открытым исходным кодом TDM-GCC в версии, выпущенной в декабре 2014 года.

Категории: Аналитика, Вредоносные программы