«Лаборатория Касперского» проанализировала нападения методом водопоя, за которыми стоит известная APT-группа LuckyMouse.
Известная APT-группировка LuckyMouse избрала целью своей новой кампании национальный центр обработки данных одной из стран Центральной Азии. “Лаборатория Касперского” проанализировала атаку и пришла к выводу, что преступники охотятся за данными официальных государственных ресурсов. Для проникновения злоумышленники пользуются тактикой водопоя (watering hole).
Экспертам по безопасности группа знакома как минимум с 2010 года под именами Emissary Panda, APT27 и Threat Group 3390. От действий киберпреступников пострадали сотни компаний по всему миру. Ряд исследователей считает, что группировка может быть связана с правительством Китая, и ее главной целью является кража технологий.
Изначально их атаки были нацелены на правительственные и политические ресурсы в Китае, Гонконге и на Филиппинах, однако в 2013 году злоумышленники стали нападать на американские и британские предприятия критической инфраструктуры и политические организации.
Текущую кампанию LuckyMouse специалисты “Лаборатории Касперского” обнаружили в марте 2018 года, однако они утверждают, что датой ее начала следует считать осень 2017-го. Компрометация национального центра обработки данных (ЦОД) дала преступникам доступ к интересующим их правительственным ресурсам, на которые они загрузили вредоносный JavaScript.
Эксперты считают, что таким образом злоумышленники готовились к проведению главного этапа своей кампании — атаки методом водопоя. Этот вид нападения основан на приемах социальной инженерии. Задача преступников — узнать, какими интернет-ресурсами или приложениями чаще всего пользуется сотрудник целевой организации, и скомпрометировать их инъекцией вредоносного кода.
“Водопоем” (Waterhole) в данном случае называют сайт и программу, взломав которую, можно будет заразить устройство жертвы и проникнуть в корпоративную сеть.
Эксперты не смогли со стопроцентной точностью установить первоначальный вектор атаки. Согласно одной из версий, преступники могли скомпрометировать систему через уязвимость CVE-2017-118822, отправив на устройство зараженные документы Microsoft Office Equation Editor. Эта брешь связана с внедрением в документ математических уравнений в виде объектов OLE и позволяет выполнить произвольный код без ведома пользователя.
Опасный баг 17 лет существовал в офисных приложениях Microsoft, прежде чем его заметили и пропатчили. Однако с момента обнаружения уязвимость активно эксплуатируют в шпионских атаках, для распространения троянов удаленного доступа в Telegram и кражи паролей, а также для проникновения в финансовые учреждения при помощи спам-рассылок.
По другой версии, заражение дата-центра могло произойти также при помощи атаки методом водопоя. Исследователи считают, что в этом случае через дроппер происходила загрузка трояна HyperBro. Помимо полезной нагрузки установщик включал в себя легитимное приложение Symantec pcAnywhere (популярный продукт для подключения к удаленным устройствам, управления ими и устранения неполадок), модуль для запуска и распаковщик самого зловреда, внедряющегося в память процесса svchost.exe.
Специалисты поясняют, что захваченные сайты перенаправляли посетителей на развернутые преступниками ScanBox и BeEF. Разведывательная инфраструктура Scanbox часто используется китайскими группировками для сбора cookie-файлов и информации с клавиатуры. Фреймворк эксплуатации браузеров (BeEF) применяют для тестирования специалисты по безопасности, но оказавшись в руках злоумышленников, он становится инструментом централизованного управления пулом зараженных через XSS клиентов.
Основной C&C-сервер этой кампании размещен по IP-адресу украинского интернет-провайдера, который назначен маршрутизатору Mikrotik. Эксперты считают, что сетевое устройство было взломано через уязвимость Chimay Red. “Причины этого не вполне ясны: китаеязычные злоумышленники обычно не беспокоятся о маскировке своих операций. Может быть, это первые шаги в разработке нового, более незаметного подхода”, — заключают исследователи.