Поиск

Исследователи компании FireEye сообщили о новой киберпреступной операции под названием Felixroot. Злоумышленники внедряют бэкдоры на ПК под управлением Windows через старые уязвимости в Microsoft Office с целью шпионажа и похищения файлов. Кампания нацелена на ПК украинских пользователей. Вредоносное ПО Felixroot попадает на атакуемые системы через фишинговые письма с вредоносным вложением. Вложение представляет собой документ со встроенным эксплоитом (к примеру, Seminar.rtf), посвященный семинару по защите окружающей среды. Фишинговые письма написаны на русском языке и отправлены якобы из Казахстана. Выбор темы свидетельствует о том, что хакеры нацелены на вполне определенных пользователей. Эксперты связали данную кампанию с предыдущей, в ходе которой злоумышленники также использовали вредоносное ПО Felixroot и атаковали украинских пользователей. Для внедрения бэкдора злоумышленники используют две уязвимости в Microsoft Office – CVE-2017-0199 и CVE-2017-11882. Первая из них позволяет загружать и выполнять скрипт Visual Basic, содержащий команды PowerShell, когда жертва открывает документ со встроенным эксплоитом. Вторая уязвимость позволяет запускать произвольный код и захватывать контроль над атакуемой системой. Бэкдор использует кастомное шифрование и загружается непосредственно в память, минуя диск, что позволяет ему оставаться незамеченным. После установки в памяти Felixroot в течение 10 минут остается неактивным. Затем вредонос ищет команды для выполнения и подключается к C&C-серверу, куда пересылает похищенные файлы. После того, как Felixroot получает и передает на сервер необходимые данные, вредоносный процесс завершается, и все следы присутствия на системе вредоносного ПО удаляются. То есть, даже в случае обнаружения атаки отследить ее источник будет невозможно.

Исследователи из «Лаборатории Касперского» сообщили об участившихся случаях использования взломанных маршрутизаторов кибершпионскими хакерскими группировками. «Мы видели множество попыток взлома маршрутизаторов на протяжении нескольких лет. Очень хорошим примером является вредоносное ПО SYNful Knock для маршрутизаторов Cisco, которое было обнаружено компанией FireEye и хакерскими группировками Regin и CloudAtlas. Обе группировки владели проприетарным ПО для взлома устройств», - отметили специалисты. По словам экспертов, количество группировок, использующих маршрутизаторы для атак, стремительно выросло в минувшем году, и данная тактика продолжает пользоваться популярностью в 2018 году. Например, хакерская группировка Slingshot, предположительно связанная с армией США, использовала взломанные маршрутизаторы MikroTik для заражения жертв вредоносными программами. Подобным образом группировка Frontline взламывала домашние маршрутизаторы и построила сеть прокси-серверов, которые можно было использовать для атаки UPnProxy. «Мы также обнаружили APT LuckyMouse использующую маршрутизаторы для размещения своих C&C-серверов, что само по себе довольно необычно. Мы считаем, что им удалось взломать маршрутизатор с помощью уязвимости в протоколе SMB, позволившей им загрузить скрипты CGI для управления и контроля», - добавили эксперты. Как отметили исследователи, атаки с использованием маршрутизаторов пользуются популярностью у хакеров и существует вероятность, что множество атак происходят незаметно как для пользователей, так и для ИБ-экспертов.

Как сообщили эксперты Fox-IT и Palo Alto Networks, русские кибершпионы разработали новое поколение троянов с целым набором инновационных техник. В частности, Kazuar получил собственный API, позволяющий хакерам в случае необходимости изменять направление трафика между ним и C&C-сервером. Вредонос разработан с помощью программной платформы .NET Framework и представлен в трех вариантах – для Windows, Mac и Linux. Исследователи Palo Alto проанализировали Windows-версию, она-то и была названа Kazuar. Эксперты Fox-IT обнаружили Mac-версию, получившую название Snake. Вариант для Linux пока еще не попал в поле зрения исследователей, однако, по словам специалистов Palo Alto, исходный код Kazuar указывает на ее существование. Обе компании считают, что вредонос разработан российской киберпреступной группировкой Turla, связываемой с самой продолжительной за всю историю кибершпионской кампанией. Вредоносное ПО является заменой трояну Uroburos, уничтоженному в 2014 году исследователями G Data. Для кибершпионских групп замена обнаруженных ИБ-специалистами инструментов новыми является привычной практикой. Как и большинство других троянов, Kazuar обращается за командами к C&C-серверу по вшитому адресу. В основном получаемые вредоносом команды такие же, как и у остальных троянов, однако одна из них отличается. Команда remote запускает web-сервер на зараженном хосте, предоставляя API для удаленных соединений. Другими словами, Kazuar способен изменять привычный поток подключения к C&C-серверу. Вместо того, чтобы инфицированный хост пинговал сервер для новых команд, атакующий может когда угодно пинговать систему жертвы и отправлять вредоносу инструкции. Данный подход имеет два больших преимущества. Во-первых, атакующий по желанию может мигрировать на другой C&C-сервер, а во-вторых, таким образом Kazuar способен обходить некоторые решения безопасности. Использовался ли вредонос в реальных атаках, пока неизвестно.

Без лишнего шума компания Microsoft исправила еще одну эксплуатируемую хакерами уязвимость. CVE-2017-0005 присутствует в компоненте Windows Win32k в Windows GDI и затрагивает все версии ОС. С ее помощью злоумышленник может вызвать повреждение памяти, тем самым повысить свои привилегии и выполнить код с привилегиями системы. Уязвимость эксплуатировалась группировкой Zirconium, специализирующейся на кибершпионаже. Проблема с безопасностью затрагивает все версии Windows, однако хакеры позаботились о том, чтобы их эксплоит работал только на версиях от Windows 2000 до Windows 8. Злоумышленники хотели обойти реализованные в Windows 8.1 и Windows 10 механизмы безопасности, которые заблокировали бы атаку и только привлекли бы нежелательное внимание к уязвимости. Как пояснили эксперты Microsoft, используемые эксплоитом техники также применялись вредоносным ПО Duqu. Microsoft узнала об уязвимости от «доверенного партнера» и исправила ее 14 марта 2017 года с выходом плановых обновлений безопасности. На момент исправления уязвимости производитель не сообщил о ее эксплуатации хакерами. Напомним, мартовские патчи исправляют еще одну уязвимость нулевого дня CVE-2017-0022, эксплуатируемую в ходе вредоносной кампании AdGholas.