Вредоносная кампания, действующая в течение как минимум двух месяцев через электронную почту, нацелена на русскоязычные предприятия и распространяет новый Windows-бэкдор, предупреждает Trend Micro.
В этих атаках используются множество эксплойтов и компонентов Windows для запуска вредоносных скриптов. Самый ранний образец вредоносной программы, связанный с атакой, был загружен на VirusTotal 6 июня 2017 года, далее Trend Micro наблюдала пять случаев рассылки спама с 23 июня по 27 июля 2017 года. Эксперты предполагают, что кампания продолжается.
Целью этих атак являются финансовые учреждения (такие как банки) и горнодобывающие фирмы. Исследователи Trend Micro заметили, что злоумышленники разнообразили свою тактику, отправив разные электронные письма для каждого этапа вредоносной кампании.
Письма выглядят так, как если бы они пришли из отдела продаж, в них содержится вредоносный файл RTF, который использует уязвимость CVE-2017-0199 в OLE-интерфейсе. Эту брешь также используют такие хакерские группы, как Cobalt и CopyKittens.
После выполнения кода эксплойта загружается поддельный файл XLS, в который встроен вредоносный JavaScript. При открытии заголовок Excel игнорируется, и файл обрабатывается как HTML компонентом Windows mshta.exe.
Код JavaScript вызывает стандартный исполняемый файл odbcconf.exe, который активирует различные задачи, связанные с компонентами доступа к данным Microsoft, для запуска библиотеки DLL. После выполнения DLL копирует файл в папку %APPDATA% и добавляет к нему расширение .txt, хотя на самом деле это файл SCT (скрипт Windows), обычно используемый для объявления переменных и добавления функциональных кодов на веб-страницах. Этот файл упакован с вредоносным, обфусцированным JavaScript.
Также DLL-файл вызывает утилиту командной строки Regsvr32 (Microsoft Register Server) для выполнения с определенными параметрами. Этот метод получил название Squiblydoo, он использует Regsvr32 для того, чтобы обойти ограничения на запуск скриптов. Ранее его использовала вьетнамская хакерская группировка APT32.
«Несмотря на то, что метод Squiblydoo является далеко не новым вектором для атаки, мы впервые наблюдали за его применением вместе с odbcconf.exe» - Trend Micro.
Следующим этапом загружается и выполняется еще один вредоносный XML-файл с домена wecloud[.]biz. Это основной бэкдор, используемый в этой атаке.
Этот бэкдор представляет собой файл SCT с обфусцированным кодом JavaScript внутри, он поддерживает команды, которые, по сути, позволяют злоумышленникам завладеть зараженной системой. Бэкдор пытается подключиться к командному серверу hxxps://wecloud[.]biz/mail/ajax[.]php и получить инструкции.
На основе полученных команд зловред может загружать и выполнять исполняемые файлы и совершать другие вредоносные действия.
Датские власти официально обвинили Россию в кибератаках на критически важную инфраструктуру страны. По данным Службы военной разведки Дании (DDIS), атаки стали частью так называемой «гибридной войны», которую Москва якобы ведёт против западных государств. В заявлении разведки говорится, что за инцидентами стоят минимум две группы, действующие в интересах российского государства.
Речь идёт о Z-Pentest — её связывают с разрушительной атакой на системы водоснабжения, — и NoName057(16), которую считают ответственной за DDoS-атаки на датские ресурсы накануне муниципальных выборов в ноябре, в преддверии выборов 2025 года.
В DDIS прямо заявили, что российские власти использует эти группы как инструменты давления. Цель таких атак — посеять чувство небезопасности в странах-оппонентах.
Отдельно отмечается, что выборы стали удобной точкой для привлечения внимания и усиления эффекта от атак — похожий сценарий уже наблюдался в других европейских странах.
Министр обороны Дании Троэльс Лунд Поульсен назвал происходящее наглядным подтверждением того, что «гибридная война — это уже не теория, а реальность». По его словам, такие действия со стороны России «абсолютно неприемлемы». Власти страны также намерены вызвать российского посла для разъяснений по поводу инцидентов.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
