Кибершпионы Winnti заразили российскую компанию зловредом 2006 года

Кибершпионы Winnti заразили российскую компанию зловредом 2006 года

Эксперты «Лаборатории Касперского», отслеживающие деятельность киберпреступной группировки Winnti, обнаружили активную угрозу, основным инструментом которой является установщик буткита образца 2006 года.

Угроза, названная HDRoot, представляет собой универсальную платформу, которая заражает компьютер жертвы и может быть использована для запуска других инструментов атаки в операционной системе. «Лаборатория Касперского» обнаружила следы заражения HDRoot в российской компании, которая и раньше становилась жертвой атак Winnti.

Группировка Winnti специализируется на проведении кампаний кибершпионажа против производителей ПО, особенно в области компьютерных онлайн-игр. Недавно было обнаружено, что спектр ее мишеней стал шире и теперь включает в себя фармацевтические и телекоммуникационные компании.

HDRoot был обнаружен, когда эксперты «Лаборатории Касперского» обратили внимание на подозрительный образец вредоносного ПО, обладающий рядом необычных характеристик. В частности, код был защищен от анализа с помощью программы VMProtect, подписанной известным скомпрометированным сертификатом, который принадлежит китайской компании Guangzhou YuanLuo Technology. Этот сертификат уже использовался группировкой Winnti для совершения атак. Кроме того, исполняемый файл был замаскирован под Microsoft Net Command net.exe, очевидно, чтобы снизить риск обнаружения вредоносной программы системными администраторами.

Эксперты «Лаборатории Касперского» обнаружили два типа бэкдоров, запускаемых с помощью платформы HDRoot, но их может быть и больше. Один из этих бэкдоров обходил целый ряд южнокорейских антивирусных средств. Это указывает на то, что группировка Winnti использовала его для запуска вредоносного ПО в целевых системах в Южной Корее. Судя по географии заражения, именно эта страна представляет наибольший интерес для атакующих. В число жертв также входят организации в Японии, Китае, Бангладеш и Индонезии, а также британская и российская компании.

«Одной из основных задач преступников при проведении любой целевой атаки — сохранить ее в тайне. Вот почему они редко используют сложное шифрование кода — это будет привлекать внимание. В данном случае группировка Winnti рискнула, так как нужно было спрятать строчки в теле программы, явно выдающие ее вредоносность. Возможно, злоумышленникам хорошо известно, насколько далеко в своем большинстве администраторы заходят в анализе подозрительных файлов, и знают, что именно нужно скрыть, а что жертвы могут проглядеть. Ведь организации не всегда своевременно внедряют необходимые политики безопасности. Системным администраторам приходится отслеживать очень многое, поэтому, если штат IT-специалистов в компании небольшой, шансы киберпреступников на то, что их деятельность останется незамеченной, особенно высоки», — комментирует Дмитрий Тараканов, ведущий антивирусный эксперт «Лаборатории Касперского».

Возможно, авторы вредоносной программы, созданной в 2006 году, стали впоследствии членами группировки Winnti, образовавшейся, как предполагают в «Лаборатории Касперского», в 2009 году. Этим можно было бы объяснить обращение к инструменту почти десятилетней давности. Но не исключено, что Winnti использовала ПО сторонних поставщиков. Возможно, эта утилита и программный код доступны на «черном» киберпреступном рынке.

ИИ научился клепать клоны Android-приложений почти за копейки

Нейросети могут за несколько минут изменить Android-приложение, пересобрать его и сохранить работоспособность. Причём цена такой операции начинается с 88 копеек, выяснили специалисты Positive Technologies. Эксперимент провели на 90 приложениях разных категорий.

Вредоносный код исследователи не добавляли: они вносили нейтральное изменение и проверяли, продолжит ли программа работать после вмешательства.

Результат получился неприятный. Закрытые коммерческие модели успешно справились с задачей в 84% попыток, модели с открытыми весами — в 61%. В среднем нейросети требовалось 14 итераций и от пяти с половиной до девяти минут.

 

Стоимость одного успешного результата составила от 0,88 до 40,89 рубля. То есть за несколько тысяч рублей потенциальный злоумышленник может попробовать модифицировать сотню популярных приложений.

На практике вместо безобидной правки в APK можно встроить перехват данных, изменить поведение программы или добавить связь с внешним сервером. Затем поддельную сборку легко выдать за оригинал, улучшенную версию или приложение, которое якобы недоступно в официальном магазине.

 

Распространять такие клоны могут через сторонние каталоги, сайты, мессенджеры и тематические сообщества. Особенно уязвимы пользователи, которые привыкли скачивать APK где придётся.

В Positive Technologies отмечают, что ИИ не изобрёл новый вид атаки, но заметно снизил порог входа. То, что раньше требовало времени и навыков реверс-инжиниринга, теперь можно частично поручить нейросети.

Разработчикам советуют защищать код от анализа и изменения, отслеживать появление неофициальных сборок и закладывать безопасность ещё на этапе разработки. Иначе клон приложения может появиться быстрее, чем команда успеет выпустить очередной патч.

RSS: Новости на портале Anti-Malware.ru