Вредоносная кампания атакует российские компании новым бэкдором

Олег Иванов 09 Августа 2017 - 12:02

Домашние пользователи

...

Вредоносная кампания, действующая в течение как минимум двух месяцев через электронную почту, нацелена на русскоязычные предприятия и распространяет новый Windows-бэкдор, предупреждает Trend Micro.

В этих атаках используются множество эксплойтов и компонентов Windows для запуска вредоносных скриптов. Самый ранний образец вредоносной программы, связанный с атакой, был загружен на VirusTotal 6 июня 2017 года, далее Trend Micro наблюдала пять случаев рассылки спама с 23 июня по 27 июля 2017 года. Эксперты предполагают, что кампания продолжается.

Целью этих атак являются финансовые учреждения (такие как банки) и горнодобывающие фирмы. Исследователи Trend Micro заметили, что злоумышленники разнообразили свою тактику, отправив разные электронные письма для каждого этапа вредоносной кампании.

Письма выглядят так, как если бы они пришли из отдела продаж, в них содержится вредоносный файл RTF, который использует уязвимость CVE-2017-0199 в OLE-интерфейсе. Эту брешь также используют такие хакерские группы, как Cobalt и CopyKittens.

После выполнения кода эксплойта загружается поддельный файл XLS, в который встроен вредоносный JavaScript. При открытии заголовок Excel игнорируется, и файл обрабатывается как HTML компонентом Windows mshta.exe.

Код JavaScript вызывает стандартный исполняемый файл odbcconf.exe, который активирует различные задачи, связанные с компонентами доступа к данным Microsoft, для запуска библиотеки DLL. После выполнения DLL копирует файл в папку %APPDATA% и добавляет к нему расширение .txt, хотя на самом деле это файл SCT (скрипт Windows), обычно используемый для объявления переменных и добавления функциональных кодов на веб-страницах. Этот файл упакован с вредоносным, обфусцированным JavaScript.

Также DLL-файл вызывает утилиту командной строки Regsvr32 (Microsoft Register Server) для выполнения с определенными параметрами. Этот метод получил название Squiblydoo, он использует Regsvr32 для того, чтобы обойти ограничения на запуск скриптов. Ранее его использовала вьетнамская хакерская группировка APT32.

«Несмотря на то, что метод Squiblydoo является далеко не новым вектором для атаки, мы впервые наблюдали за его применением вместе с odbcconf.exe» - отмечает Trend Micro.

Следующим этапом загружается и выполняется еще один вредоносный XML-файл с домена wecloud[.]biz. Это основной бэкдор, используемый в этой атаке.

Этот бэкдор представляет собой файл SCT с обфусцированным кодом JavaScript внутри, он поддерживает команды, которые, по сути, позволяют злоумышленникам завладеть зараженной системой. Бэкдор пытается подключиться к командному серверу hxxps://wecloud[.]biz/mail/ajax[.]php и получить инструкции.

На основе полученных команд зловред может загружать и выполнять исполняемые файлы и совершать другие вредоносные действия.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 29 Октября 2025 - 09:36

Эксплойты Уязвимости программ Общее

Вектор атаки TEE.Fail ломает доверенные среды CPU от Intel, AMD, NVIDIA

Исследователи из Технологического института Джорджии и Университета Пердью рассказали о новой атаке под названием TEE.Fail, с помощью которой им удалось извлечь секретные ключи из доверенной среды выполнения (TEE) — того самого «защищённого уголка» процессора, где хранятся самые конфиденциальные данные.

Речь идёт о таких технологиях, как Intel SGX и TDX, а также AMD SEV-SNP. Они используются для так называемых «доверенных вычислений», где данные и код изолированы от операционной системы, чтобы даже взломанный сервер не смог добраться до них.

Но, как выяснилось, в современных процессорах с памятью DDR5 защита уже не такая надёжная. В погоне за скоростью и масштабируемостью производители убрали часть механизмов контроля целостности памяти и оставили только шифрование AES-XTS. А это оказалось слабым местом.

Учёные придумали (PDF) изящный способ — врезаться в шину памяти с помощью промежуточного адаптера (интерпозера) и снимать зашифрованный трафик между оперативкой и процессором. Всё оборудование для эксперимента обошлось меньше чем в $1000, так что, по словам исследователей, повторить атаку смог бы и «продвинутый энтузиаст».

Эксперимент показал, что шифрование в DDR5 детерминированное — то есть одни и те же данные превращаются в один и тот же шифротекст. Это позволило исследователям сопоставить зашифрованные блоки с реальными значениями, а дальше — восстановить закрытые ключи, с помощью которых можно выдавать себя за доверенные среды SGX/TDX или SEV-SNP.

С помощью TEE.Fail команда смогла:

Подделывать TDX-аттестации в блокчейне Ethereum BuilderNet и получать доступ к конфиденциальным данным.
Имитировать Intel и NVIDIA TEE, чтобы запускать код вне защищённой среды, но с видимостью легитимности.
Извлекать закрытые ключи ECDH прямо из анклав и полностью компрометировать систему.

Для атаки всё же нужны права администратора и физический доступ к серверу, так что массовой угрозой TEE.Fail назвать нельзя. Однако исследование показывает, что современные TEE уже не так надёжны, как считалось ранее, особенно в серверных системах с DDR5.

Исследователи сообщили о проблеме Intel — в апреле, NVIDIA — в июне, AMD — в августе. Все компании пообещали устранить брешь.