Исследовательская группа Unit 42 компании Palo Alto Networks в конце октября — начале ноября 2018 года выявила новый RAT. Троян получил название Cannon, в своих атаках его использовала известная русскоязычная APT-группировка Sofacy. Чтобы избежать обнаружения и автоматического анализа в песочнице, преступники прибегли к нераспространенному способу общения зловреда с командным сервером и выполнения команд.

Киберпреступники распространяли троян с помощью фишинговой рассылки. В качестве вложения в письмах содержались документы Microsoft Word. На сей раз в качестве темы спам-кампании злоумышленники использовали крушение Boeing 737 MAX 8 авиакомпании Lion Air. Некоторые из прикрепленных файлов назывались crash list (Lion Air Boeing 737) .docx. По словам экспертов, это первый случай, когда группировка использует в качестве приманки катастрофу.

При попытке открыть документ Microsoft Word сразу же пытался загрузить с удаленного сервера шаблон, содержащий вредоносный макрос и полезную нагрузку — троян Cannon. Однако если C&C-сервер недоступен, то установки не происходило и файл оставался безопасным.

Если же сервер был на связи, пользователю отображалась заставка с просьбой активировать макрос. Если тот следовал подсказке, запускался вредоносный код, представляющий собой макрос AutoClose, который выполняется при закрытии файла. Таким образом, если песочница завершает сеанс сканирования, когда документ открыт, подозрительная активность остается незамеченной.

Главная задача Cannon — передача преступникам информации о системе и скриншота рабочего стола, а также доставка полезной нагрузки через ответный email. По снимку экрана злоумышленники определяют, входит ли жертва в их список целей. В отличие от многих других троянов, общение с командным сервером происходит не через HTTP- или HTTPS-соединение, а по протоколам SMTPS и POP3S.

Благодаря этому в качестве удаленного центра управления выступали адреса легитимного email-сервиса. В случае Cannon — чешского провайдера Seznam. Еще одной из особенностей работы этого RAT является выполнение команд на основе обработчиков событий и таймеров, что значительно усложняет его обнаружение.

Помимо Cannon в ходе изучения кампании исследователям встретилась и модификация уже известного трояна Zebrocy. Зловред собирал системную информацию и также отправлял злоумышленникам снимок рабочего стола жертвы.

Группировка Sofacy, также известная как Fancy Bear, APT28, Pawn Storm, Sednit и Strontium, действует с 2004 года и атакует в основном государственные, военные и информационные организации по всему миру.

Категории: Аналитика, Вредоносные программы