Сегодня хакеры постоянно оптимизируют свои атаки. Необходимо взглянуть на разработанные ими концепции, поскольку компании и поставщики критической инфраструктуры также становятся потенциальными жертвами сложных атак, когда они достигают серийной зрелости.

Вредоносная кампания DownEx является примером того, насколько опытны хакеры в разработке своих вредоносных инструментов и проведении целевых атак.

Даже в последние годы самые сложные кибератаки могут начинаться с простого фишингового письма.

Эксперты обнаружили DownEx в конце 2022 года. Целью атаки были иностранные государственные учреждения в Казахстане, у которых хакеры хотели похитить информацию.

Целенаправленная фишинговая кампания в начале показала, насколько целенаправленными были злоумышленники. Они притворялись настоящими дипломатами. Информация о возможных жертвах-получателях указывает на группу, действующую при помощи государства. Однако нападения не могли быть приписаны конкретному субъекту.

Ключом к происхождению злоумышленников является взломанная двуязычная версия Microsoft Office 2016 «SPecialisST RePack» или «Русский RePack by SPECialiST», которая в настоящее время широко распространена в русскоязычных странах. Также тот факт, что у киберпреступников есть бэкдор, написанный на двух языках, указывает в одном географическом направлении: подобная практика известна от российской группы APT28 и ее бэкдора Zebrocy. Однако достоверность этой информации не доказана.

Подготовительная работа по социальной инженерии, проведенная хакерами, остается неясной. Ясно одно: даже в этом году сложные атаки часто будут начинаться с фишинга.

Хотя злоумышленники, вероятно, исследовали целевую группу благодаря своим контактам и предоставили актуальный для них контент, сложная атака началась – как это часто бывает – с очень простого электронного письма.

Авторы целевого фишингового письма использовали относительно простую маскировку исполняемого файла с помощью значка и файла .docx. Единственная маскировка: прикрепленный файл не имел двойного расширения файла. Киберсистемы обычно распознают такое расширение как подозрительную практику.

Исполняемый файл извлекает две части данных: документ Word ничем не примечателен и, по-видимому, служит только для того, чтобы уберечь жертву от подозрений, пока реальный сценарий работает в фоновом режиме.

Второй файл представлял собой файл HTA (HTML-приложение). Он также представлял собой камуфляж без обычного расширения. Встроенные в него коды VBscript, HTML, CSS или JavaScript можно запускать как отдельное приложение в операционной системе Windows.

Чтобы установить цикл связи с инфраструктурой C2, злоумышленники использовали бэкдор help.py на базе Python. Их замаскированный сценарий было трудно анализировать: инструмент обфускации Python PyArmor на основе Python защищает сценарии от обратного проектирования и манипуляций.

Злоумышленники также защитили связанный скомпилированный модуль Pytransform.pyd (по сути, DLL-файл, используемый сценарием Python) от обратного проектирования с помощью программы защиты программного обеспечения Themida. Злоумышленники также использовали другие методы обфускации, в том числе смешивание кода операции.

В результате help.py сгенерировал пару публичных и частных ключей RSA в системе жертвы длиной 2048 бит. Сервер управления и контроля получил открытый ключ методом POST со следующими парами ключ-значение.

Центральный сервер управления и контроля ответил действительным кодом Python, чтобы установить идентификатор клиента для системы-жертвы в качестве постоянного идентификатора.

Затем сервер C2 передает конкретные задачи, которые необходимо было выполнить на взломанном компьютере. Задачи по эксфильтрации данных получили единый идентификационный номер. Похоже, что это дополнительная и глобальная ценность для всех жертв кампании.

Самый высокий идентификатор задачи, выявленный исследователями безопасности, составил 115880. Это означает, что киберпреступники отправили жертвам более 100000 задач.

Наблюдая за конкретной атакой, эксперты по безопасности смогли наблюдать четыре задачи, которые сами по себе представляют собой базовый арсенал для эксфильтрации:

A3 — DOWNLOAD_LIST: удалить файлы с определенными расширениями из каталога. Эта задача извлекает только файлы, которые были изменены за последние N дней. N — жестко запрограммированное значение. Задача отправляет данные наружу в zip-архивах, размер которых ограничен 16 МБ. При необходимости хакеры используют несколько архивов. Жертва отправляет на сервер C2 список совпадающих файлов, включая информацию о полном пути, созданном размере и дате последнего изменения удаленного файла.

A4 — DOWNLOAD_AND_DELETE_LIST: эта задача дополнительно удаляет файлы, украденные на сайте. Предположительно, злоумышленники хотели удалить данные, сгенерированные другим вредоносным ПО и его задачами. Хакеры уничтожают их следы.

A6 — SCAN_LIST: аналогично задаче A3. Задача сообщает о дублирующихся файлах, не пересылая их несколько раз. Так хакеры избегают дубликатов и уменьшают объем данных при передаче собранных данных.

A7 - SCREENSHOT: Эта задача загружает снимок экрана со взломанного компьютера.

Хакеры использовали множество последних вредоносных программ, написанных на C++. Злоумышленники сохранили исполняемый файл diagsvc.exe в папке C:\\ProgramData\\Programs, что не вызвало особых подозрений. Он был разработан для несанкционированной утечки данных. Все собранные скрипты обращались к одному и тому же серверу C2.

После выполнения DownEx начинает рекурсивный анализ локальных и сетевых дисков и собирает файлы с определенными расширениями: .doc, .docx, .rtf, .xlsx, .xls, .pdf, .ppt, .pptx, .~tm, .bmp, .rar, .jpg, .odt, .p12, .heic, .enc, .jpeg, .tiff, .tif, .zip, .crf, .enc, .cr, .lhz, .pem, .pgp, .sbx, .tlg.

Злоумышленников явно интересовали конфиденциальные файлы, такие как .pgp (довольно хорошая конфиденциальность) или .pem (почта с улучшенной конфиденциальностью), но также был интерес к финансовым данным, таким как файлы журналов QuickBooks (расширение .tlg).

Для эксфильтрации был использован ZIP-архив. Размер несжатых данных был ограничен 30 МБ для каждого архива. При необходимости создается несколько архивных файлов. Чтобы ограничить объем данных, DownEx сохранил контрольные суммы уже удаленных файлов (CRC), чтобы избежать дублирования. Вредоносная программа отправляет архивы на командный сервер POST-запросом.

Другая версия DownEx на основе VBScript, идентичная версии C++, действовала как безфайловая атака исключительно в памяти и ни в коем случае не на каком-либо атакуемом носителе. Такие атаки сложно обнаружить.

DownEx иллюстрирует изощренность и профессионализм современных кибератак. Киберпреступники прилагают много усилий, чтобы сделать свои атаки более эффективными, менее заметными и более универсальными. Чтобы обнаружить и предотвратить такие кампании, властям и компаниям необходимо сочетание передовых технологий кибербезопасности.

Такие средства защиты, как расширенное обнаружение вредоносных программ с помощью машинного обучения, которое может идентифицировать вредоносные сценарии, фильтрация электронной почты, «песочница» для детонации подозрительных файлов, сетевая защита, которая может блокировать соединения C2, а также обнаружение и защита за пределами фактических конечных точек и с помощью внешних аналитиков безопасности - часть инструментария современной обороны.

Важно отметить, что не только вредоносное ПО и вирусы влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных или сервером, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.

Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.