Shadow Brokers мұрағаты құпиялы DarkUniverse тобының ізіне шығарды

2017 жылы The ShadowBrokers қиберқылмыс тобы Equation Group тобынан ұрлаған зиянды БҚ және хакерлік құралдармен мұрағатты жария етті, оны киберқауіпсіздік саласындағы сарапшылар АҚШ Ұлттық қауіпсіздік агенттігімен байланысатырады. Бұл мұрағат, сонымен қатар DarkUniverse атауын алған белгілі бір APT тобының ізіне шығуға мүмкіндік берген басқа скрипт болды.


«Касперский зертханасының» мамандарының мәліметтері бойынша, топ кем дегенде сегіз жыл бойы белсенді болды – 2009 жылдан бастап 2017 жылға дейін. Сарапшылар DarkUniverse зиянды ItaDuke кампанияларына қатысты болуы мүмкін, оның шеңберінде PDF-құжаттардағы осалдықтар үшін нөлдік күннің эксплойттары зиянды бағдарламаларды жүктеу үшін, ал Twitter есептік жазбалары — URL-мекенжайларын C&C-серверлерін сақтау үшін пайдаланылған деп санайды.

DarkUniverse тобы зиянды БҚ «мақсатты фишинг» әдістері бойынша таратқан. Әрбір құрбан үшін оның назарын аудару және енгізілген Microsoft Office зиянды құжатын ашу мақсатында жеке хат қалыптастырылды.

Зиянды БҚ әрбір үлгісі жіберер алдында тікелей құрастырылады және зиянды БҚ орындалатын файлының соңғы қолжетімді нұсқасын қамтиды. Құжаттарға енгізілген зиянкес екі зиянды модульді (updater.mod и glue30.dll) қамтыды. Біріншісі басқарушы сервермен байланысқа, сондай-ақ қосымша зиянды модульді жүктеуге жауап берді, екіншісі кейлоггер ретінде әрекет етті. Updater.modкітапханасын іске қосу үшінrundll32.exe пайдаланылды. Updater.modмодульі C&C-серверімен байланыты қамтамасыз ету, зиянды бағдарламалардың тұтастығы мен тұрақтылығын қамтамасыз ету, сондай-ақ басқа да зиянды модульдерді басқару үшін жауап берді.

Көрсетілген функциялардан басқа, updater.mod dfrgntfs5.sqt сияқты қосымша молульдер қатарын (C&C-серверінен командаларды орындау үшін), msvcrt58.sqt (пошта есептік деректерді және электрондық хаттарды ұрлау үшін), zl4vq.sqt (dfrgntfs5 модульі пайдаланатын, легитимдік кітапхана zlib) және %tims_ID%.upe (dfrgntfs5 үшін қосымша плагин) жүктеді.

Glue30.dll зиянды модульі кейлоггинг функционалдығын қамтамасыз етті. Updater.modмодулі Win API SetWindowsHookExW функциясын пернетақтаны басуды ұстап алу мен пернетақтадан енгізу туралы деректерді алушы glue30.dll процестер үшін пайдаланды. Мsvcrt58.sqt модульі шифрланбаған POP3-трафик электроныдық пошта хабарламалары мен құрбандардың есептік деректерін жинау үшін ұстап, оны талдап, нәтижесін негізгі (updater.mod) модульге C&C-серверіне жүктеуге жіберді. Dfrgntfs5.sqt модульі DarkUniverse ортасының ең функционалды компонеті болды. Ол C&C-серверінен командалардың үлкен тізімін өңдеді.

Зерттеушілер Сирия, Иран, Ауғаныстан, Танзания, Эфиопия, Судан, Ресей, Беларусь және Біріккен Араб Әмірліктеріндегі 20-ға жуық құрбандарды анықтады, алайда олар зардап шеккендердің саны әлдеқайда көп болуы мүмкін деп санайды. Зардап шеккендер арасында азаматтық және әскери ұйымдар да болды.