Қылмыстық топ компанияларға жаңа бэкдормен шабуыл жасауда

Кем дегенде екі ай бойы электрондық пошта арқылы әрекет ететін зиянды бағдарлама орыс тілді кәсіпорындарға бағытталған және жаңа Windows-бэкдорды таратады, деп ескертеді Trend Micro. Бұл шабуылдарда зиянды скриптерді іске қосу үшін көптеген эксплойттер мен Windows компоненттері пайдаланылады. Зиянды бағдарламаның шабуылға байланысты ең алғашқы үлгісі VirusTotal-ға 2017 жылғы 6 маусымда жүктелді, одан әрі Trend Micro 2017 жылғы 23 маусымнан бастап
27 шілдеге дейінгі аралықта 5 рет спам таратылғанын байқаған болатын. Сарапшылардың болжамы бойынша кампания әлі де жалғасуда. Аталған шабуылдардың мақсаты қаржы ұйымдары (банктер сияқты) және кен қазушы фирмалар болып табылады.

Trend Micro зерттеушілері зиянды кампанияның әр кезеңіне әртүрлі электрондық хаттар жіберіп, зиянкестер өзінің тактикасын түрлендіргенін байқады. Хаттар сату бөлімінен келіп түскен болып көрінеді, оларда OLE-интерфейсінде CVE-2017-0199 осалдығын пайдаланатын зиянды RTF файлы қамтылған. Бұл зиянды Cobalt және CopyKittens сияқты хакерлік топтар да пайдаланады. Эксплойттың коды орындалғаннан кейін зиянды JavaScript кіріктірілген жасанды XLS файлы жүктеледі. Ашқан кезде Excel тақырыбы ескерілмейді және файлды Windows mshta.exe компоненті HTML ретінде өңдейді. JavaScript коды DLL кітапханасын іске қосу үшін Microsoft деректеріне қол жеткізу компоненттерімен байланысты түрлі міндеттерді белсенді ететін стандартты орындалатын odbcconf.exe файлын шақырады.

Орындалғаннан кейін DLL файлды %APPDATA% папкасына көшіреді де бұл әдетте веб-парақшаларындағы ауыспалыларды жариялау мен функционалдық кодтарды қосу үшін пайдаланылатын SCT (Windows скрипті) файлы болып табылатынына қарамастан, оған .txt кеңейтуін қосады. Бұл файл обфускацияланған зиянды JavaScript-пен кіріктірілген. Сондай-ақ, DLL-файлы белгілі параметрлерімен орындау үшін Regsvr32 (Microsoft Register Server) командалық жолының утилитасын шақырады. Бұл әдіс Squiblydoo деп аталды, ол скриптерді іске қосудың шектеулерін ескермеу үшін Regsvr32 пайдаланады. Бұрын оны APT32 вьетнам хакерлік тобы пайдаланған болатын. «Squiblydoo әдісі шабуыл жасаудың жаңа векторы болып табылмайтынына қарамастан, біз оның odbcconf.exe бірге пайдаланылғанын бірінші рет көрдік» -дейді Trend Micro. Келесі кезеңде wecloud[.]biz доменінен тағы бір зиянды XML-файлы жүктеледі және орындалады. Бұл осы шабуылда пайдаланылатын негізгі бэкдор. Аталған бэкдор ішінде обфускацияланған JavaScript коды бар SCT файлын білдіреді, ол зиянкестерге шын мәнінде зақымдалған жүйені иеленуге мүмкіндік беретін командаларды қолдайды.

Бэкдор hxxps://wecloud[.]biz/mail/ajax[.]php командалық серверге қосылуға және нұсқаулар алуға әрекеттенеді. Алынған командалардың негізінде зиянкес орындалатын файлдарды жүктеп, орындайды алады және басқа да зиянды іс-қимылдарды орындауы мүмкін.

Ақпарат көзі:anti-malware.ru