Группа быстрого реагирования на компьютерные инциденты Тайланда (ThaiCERT) захватила сервер, используемый криминальной группой Hidden Cobra как центр управления скрытными операциями. Эта киберкампания носит глобальный характер и проводится под кодовым именем GhostSecret.

В опубликованном на прошлой неделе коммюнике участники ThaiCERT сообщили, что они собираются вместе с экспертами McAfee и представителями правоохранительных органов провести анализ содержимого C&C-сервера, который размещался в сети университета Таммасат в Бангкоке. По данным исследователей, этот же IP-адрес в 2014 году использовали взломщики Sony Pictures, предположительно связанные с Hidden Cobra, она же Lazarus Group.

McAfee в свою очередь предупредила, что текущая кампания GhostSecret охватила как минимум 17 стран и широкий спектр вертикалей. В частности, ее авторов интересуют критически важные отрасли, индустрия развлечений, финансовые услуги, сфера здравоохранения, связь.

«Теперь, когда тайное стало явным, авторы, скорее всего, сменят инфраструктуру и импланты, — заявил представитель McAfee журналистам Threatpost. — Мы также полагаем, что это лишь верхушка айсберга, и скрытая инфраструктура гораздо шире».

В распоряжении Hidden Cobra имеется множество имплантов, разных инструментов и вариантов вредоносных программ; весь этот арсенал используется для разведки, скрытного сбора данных и проведения дальнейших атак. Так, инструмент удаленного доступа Bankshot открывает злоумышленникам широкие возможности после проникновения в систему, от сбора данных до стирания файлов и контента.

Bankshot неоднократно использовался в атаках Hidden Cobra против финансовых институтов и других учреждений — в частности, против крупного корейского банка. По словам исследователей, эта программа умеет также отыскивать узлы, связанные с межбанковской системой SWIFT. Доступ к SWIFT всегда интересовал Hidden Cobra — в 2016 году кража таких учетных данных позволила участникам этой группы вывести более 80 млн долларов из Центрального банка Бангладеш.

Исследователи также обнаружили два не встречавшихся ранее зловреда. Один из них по функциональности напоминает стиратель Destover, засветившийся в атаке на Sony; другой, именуемый Proxysvc, представляет собой компонент прослушивания входящих команд на порту 443.

В McAfee предположили, что Proxysvc является частью скрытой сети для прослушивания SSL, облегчающей сбор данных и установку более сложных имплантов или дополнительных элементов инфраструктуры. С помощью этой сети атакующие выявляют зараженные системы, чтобы потом к ним подключаться.

Проведенный в McAfee анализ показал, что Bankshot, Proxysvc и Destover-подобный имплант относятся к разным семействам, но по коду и функциональности схожи с уже известными инструментами Hidden Cobra.

Киберкампания GhostSecret стартовала в феврале 2018 года; первые малотиражные вредоносные рассылки злоумышленники провели в Турции. К письмам был прикреплен документ Microsoft Word, нацеленный на установку Bankshot. Первым адресатом Hidden Cobra в этой стране стала крупная финансовая организация, контролируемая государством; затем злоумышленники атаковали другую госструктуру, связанную с финансами и торговлей, а после — еще три больших финансовых института.

Категории: Вредоносные программы, Хакеры