Обнаружена троянская программа удаленного администрирования, которая на протяжении трех лет экономно использовалась в целевых атаках и до сих пор плохо детектится большинством антивирусов.

Троянец с кодовым именем GlassRAT подписан сертификатом популярной китайской компании, специализирующейся на разработке ПО. Данный зловред используется для слежки за уроженцами Китая, работающими в коммерческих компаниях, и может быть связан с другими вредоносными кампаниями, известными еще с 2012 года.

GlassRAT был обнаружен специалистами RSA Security в ходе расследования киберинцидента, произошедшего ранее в текущем году. По свидетельству RSA, жертвой троянца оказался китаец, работающий в зарубежной «многонациональной корпорации». Как произошло заражение, доподлинно неизвестно; эксперты не исключают возможность целевого фишинга, drive-by-загрузки или другого обычного для таких случаев способа доставки.

«У нас было мало данных для анализа, удалось зафиксировать лишь специфическую активность в сети многонациональной компании, — рассказывает Кент Бэкман (Kent Backman), возглавлявший расследование. — Это был C&C-трафик, исходящий с устройства по линии передачи команд. Принимающей стороной был участник обмена, исследующий сеть, в которой находился зараженный лэптоп. Все это выглядело как сбор информации; вероятнее всего, в этом и заключалось назначение данного RAT-троянца».

Основными мишенями злоумышленников в настоящее время являются коммерческие организации, что говорит в пользу промышленного шпионажа. Тем не менее часть C&C-инфраструктуры GlassRAT ранее использовалась против мишеней, деятельность которых носит геополитический характер.

«Мы склоняемся к мнению, что, коль скоро выбор целей сменился с геополитических на коммерческие, мы, видимо, имеем дело с другим подразделением крупной хакерской организации, открывшей лишь несколько карт из своей C&C-колоды», — полагает Бэкман.

С его слов, RSA загрузила сигнатуру YARA на VirusTotal и другие источники и провела несколько месяцев в томительном ожидании вердикта. Лишь после этого эксперты смогли заключить, что инфраструктура GlassRAT также использовалась в атаках против филиппинского и монгольского правительства, но тогда применялись другие зловреды — Mirage (MirageRAT), magicFire и PlugX.

«Окно совпадения по времени при совместном использовании инфраструктуры оказалось сравнительно небольшим, что говорило о возможном техническом упущении в системе безопасности GlassRAT, если только его операторы не намеренно использовали общую инфраструктуру», — пишут исследователи в своем отчете.

RSA не раскрыла имя компании, у которой украли сертификат, однако отметила, что этот сертификат был впоследствии отозван. Злоумышленники использовали его для подписания дроппера, который самоуничтожается после загрузки зловреда. В ходе установки GlassRAT, по свидетельству экспертов, отображает диалоговое окно сертификата с именем приложения, разработанного пекинской софтверной компанией; по данным RSA, эту легальную программу уже скачали 500 млн пользователей.

«Мы можем подтвердить, что использование данного зловреда против крупной многонациональной корпорации дало высокий эффект, — заключает Бэкман. — Он годами оставался незамеченным антивирусами, хотя при более широком его применении шансы на обнаружение были бы выше».

Категории: Аналитика, Вредоносные программы, Главное