Злоумышленники шпионили за центрами обслуживания с помощью легитимного инструмента удаленного администрирования.
Недавно стало известно о серии целевых шпионских атак. Жертвами стали организации, занимающиеся поддержкой и обслуживанием различных электронных устройств.
Для загрузки вредоносного кода злоумышленники использовали коммерческую версию Imminent Monitor, программы для удаленного администрирования. Сейчас она находится в свободном доступе и считается надежной, любой может ее приобрести. Разработчики Imminent Monitor ясно обозначили, что их инструмент запрещено использовать в незаконных целях. Само собой, для кого-то это заявление — пустой звук.
Лаборатория FortiGuard проанализировала обнаруженную кампанию и опубликовала свое исследование. Специалисты отмечают, что атаки новоявленных шпионов не были выстрелом в небо — злоумышленники организовали направленную многоступенчатую кампанию, используя весь имеющийся арсенал кибероружия: ложные электронные адреса, зараженные документы Microsoft Office и всевозможные методы распаковки. В «умелых» руках легитимный инструмент для удаленного администрирования стал основной платформой для запуска кибератак.
В начале были письма: кибершпионы, выдавая себя за представителей Samsung, отправляли российским сервисным центрам компании вредоносные электронные сообщения. Во вложении находился XLS-документ со стандартным соглашением об именовании, которое обычно использует корейская корпорация.
Исследователи FortiGuard замечают, что заражать исполняемые файлы — прошлый век для киберкриминального мира. Сейчас пользователи значительно больше подкованы в области интернет-безопасности, чем несколько лет назад. Поэтому мошенники все чаще предпочитают использовать уязвимости в ПО.
В этой кампании злоумышленники милитаризировали электронные таблицы при помощи уязвимости CVE-2017-11882. Брешь не так давно была обнаружена в офисном приложении Microsoft, которому уже более 17 лет. Это Equation Editor (eqnedt32.exe) — компонент для вставки математических вычислений в документы. Несмотря на явные недостатки, инструмент еще поддерживается производителем в целях сохранения совместимости. В прошлом году Microsoft выпустила для него патч, призванный устранить баг, которым пользовались кибершпионы.
Для нападения злоумышленники внедряли в приложение шелл-код, с помощью которого получали доступ к каталогу kernel32.dll на компьютере жертвы и определяли адреса двух основных функций — LoadLibraryA и GetProcAddress — а затем и других полезных для атаки вещей. В частности, преступники обеспечивали себе возможность задавать точное расположение полезной нагрузки, которое может меняться в зависимости от платформы. После всех этих манипуляций скрипт оболочки загружал вредоносный код с помощью Imminent Monitor и пытался его выполнить.
Зловред находился под защитой нескольких протекторов. Один из них — упаковщик ConfuserEx, который помогал обфусцировать имена объектов, методов и ресурсов, используемых при атаке. Второй — фреймворк BootstrapCS. Он применялся для защиты от анализа. Для финальной распаковки инструмента удаленного администрирования файл использовал библиотеку lzma.dll из 7ZIP-архива.
В итоге преступники могли просматривать записи видео с веб-камеры или получали доступ к файлам на компьютере жертвы.
Доподлинно неизвестно, кто организовал шпионскую кампанию. Согласно результатам анализа FortiGuard, источник атак находится за пределами страны. Исследователи лаборатории утверждают, что письма, приходившие с ложных адресов, были написаны не носителем русского языка — текст как будто бы прогнали через систему автоматического перевода. К тому же IP-адрес отправителя не связан с доменом его электронной почты.
В ходе анализа серверов С2 FortiGuard выяснила, что таким же образом было зарегистрировано около 50 доменов и некоторые из них замешаны в распространении зловредов и фишинговых атаках. Специалисты лаборатории также изучили вредоносные таблицы и обнаружили некоторые совпадения с шаблонами из своей базы. На основании всей этой информации исследователи предполагают, что организаторы кампании — ветераны кибершпионажа.