Исследователи из Trend Micro обнаружили кибератаку, направленную на слежку за корпоративными пользователями. Злоумышленники обходили антивирусные системы с помощью специально созданного зловреда и внедряли бэкдор для контроля каналов коммуникации.

Организаторы кампании заражали жертв через некий скомпрометированный ресурс, используя уязвимость CVE-2018-8174. За прошлый года эта RCE-брешь движка VBScript получила впечатляющую популярность у киберпреступников, хотя патч к ней вышел еще в мае.

Если посетитель сайта, используемого как watering hole, оказывался уязвимым перед эксплойтом, на его машину загружалась DLL-библиотека, исполняемая с помощью PowerShell. Этот файл первого этапа заражения проверяет наличие на компьютере антивирусов (по списку) и приступает к выполнению основной задачи — загрузке бэкдора — лишь при их отсутствии. Он также способен повышать свои привилегии через брешь CVE-2015-1701 .

Что касается самого бэкдора, эксперты подчеркнули, что на момент обнаружения он был не известен антивирусным системам. Написанный на C++ кастомный Windows-зловред использует библиотеку curl для отправки HTTP-запросов, boost — для извлечения команд из заметок на GitHub, и JsonCpp, чтобы получать данные из мессенджера Slack. Исследователи назвали свою находку SLUB, объединив наименования используемых ею сервисов (Slack и Github).

Оказавшись на целевой машине, бэкдор закрепляется на ней через редактирование реестра и обращается к GitHub за командами. Результаты их выполнения зловред отправляет в закрытый Slack-канал. Эта схема не позволяет преступникам управлять каждым образцом SLUB отдельно — на всех зараженных машинах выполняются одни и те же команды, полученные из единого источника на GitHub.

Эксперты обнаружили в коде набор нежелательных функций — от снятия скриншотов, получения информации о жестких дисках и запущенных процессах до создания и удаления файлов, работы с реестром и загрузки дополнительного ПО. Бэкдор также может упаковать в архив все содержимое рабочего стола и отправить его злоумышленникам.

Следы преступников на GitHub и Slack позволили специалистам изучить реальные атаки, которые начались в конце февраля. Так, взломщиков интересуют файлы, которыми жертва обменивалась в Skype, и документы программы Hangul (текстовый редактор, используемый в Южной Корее). Они также изучают коммуникации пользователей в различных мессенджерах и интернет-сервисах.

Особый интерес преступники проявили к системе Neologic Plus Board — она позволяет создавать электронные доски объявлений. Среди файлов, которые SLUB отправил организаторам кампании, были перечни с сотнями ссылок на подобные страницы. Изучить их не удалось, поскольку преступники успели удалить данные.

По словам исследователей, кампанию запустила некая APT-группа, и массовых атак можно не ожидать. О профессионализме злоумышленников говорят выбранные ими методы, которые сильно затрудняют поиск взломщиков.

«Преступники используют только публичные сервисы, поэтому им не приходится регистрировать собственные домены, где можно оставить следы, — пояснили эксперты. — Те электронные адреса, которые нам удалось обнаружить, оказались ящиками одноразового использования».

Представители Slack отчитались о блокировке закрытого канала, связанного с данной кампанией. Сервис Github также удалил вредоносный код, использованный для управления бэкдором.

Категории: Аналитика, Вредоносные программы, Главное