Кибершпионы Winnti заразили российскую компанию зловредом 2006 года

Кибершпионы Winnti заразили российскую компанию зловредом 2006 года

Эксперты «Лаборатории Касперского», отслеживающие деятельность киберпреступной группировки Winnti, обнаружили активную угрозу, основным инструментом которой является установщик буткита образца 2006 года.

Угроза, названная HDRoot, представляет собой универсальную платформу, которая заражает компьютер жертвы и может быть использована для запуска других инструментов атаки в операционной системе. «Лаборатория Касперского» обнаружила следы заражения HDRoot в российской компании, которая и раньше становилась жертвой атак Winnti.

Группировка Winnti специализируется на проведении кампаний кибершпионажа против производителей ПО, особенно в области компьютерных онлайн-игр. Недавно было обнаружено, что спектр ее мишеней стал шире и теперь включает в себя фармацевтические и телекоммуникационные компании.

HDRoot был обнаружен, когда эксперты «Лаборатории Касперского» обратили внимание на подозрительный образец вредоносного ПО, обладающий рядом необычных характеристик. В частности, код был защищен от анализа с помощью программы VMProtect, подписанной известным скомпрометированным сертификатом, который принадлежит китайской компании Guangzhou YuanLuo Technology. Этот сертификат уже использовался группировкой Winnti для совершения атак. Кроме того, исполняемый файл был замаскирован под Microsoft Net Command net.exe, очевидно, чтобы снизить риск обнаружения вредоносной программы системными администраторами.

Эксперты «Лаборатории Касперского» обнаружили два типа бэкдоров, запускаемых с помощью платформы HDRoot, но их может быть и больше. Один из этих бэкдоров обходил целый ряд южнокорейских антивирусных средств. Это указывает на то, что группировка Winnti использовала его для запуска вредоносного ПО в целевых системах в Южной Корее. Судя по географии заражения, именно эта страна представляет наибольший интерес для атакующих. В число жертв также входят организации в Японии, Китае, Бангладеш и Индонезии, а также британская и российская компании.

«Одной из основных задач преступников при проведении любой целевой атаки — сохранить ее в тайне. Вот почему они редко используют сложное шифрование кода — это будет привлекать внимание. В данном случае группировка Winnti рискнула, так как нужно было спрятать строчки в теле программы, явно выдающие ее вредоносность. Возможно, злоумышленникам хорошо известно, насколько далеко в своем большинстве администраторы заходят в анализе подозрительных файлов, и знают, что именно нужно скрыть, а что жертвы могут проглядеть. Ведь организации не всегда своевременно внедряют необходимые политики безопасности. Системным администраторам приходится отслеживать очень многое, поэтому, если штат IT-специалистов в компании небольшой, шансы киберпреступников на то, что их деятельность останется незамеченной, особенно высоки», — комментирует Дмитрий Тараканов, ведущий антивирусный эксперт «Лаборатории Касперского».

Возможно, авторы вредоносной программы, созданной в 2006 году, стали впоследствии членами группировки Winnti, образовавшейся, как предполагают в «Лаборатории Касперского», в 2009 году. Этим можно было бы объяснить обращение к инструменту почти десятилетней давности. Но не исключено, что Winnti использовала ПО сторонних поставщиков. Возможно, эта утилита и программный код доступны на «черном» киберпреступном рынке.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru