Организация информационной безопасности


Киберпреступники из Sofacy взяли на мушку ИБ-экспертов

Фотография предоставлена:

Группа хакеров с русскими корнями, предположительно причастная к вмешательству в выборы президента США в 2016 году, избрала своей целью исследователей, администраторов сайтов/сетей и прочих специалистов, интересующихся кибербезопасностью.

Эксперты исследовательского подразделения Cisco Talos в воскресенье опубликовали отчет с описанием кампании, которую они связывают с APT-группой Sofacy, также известной под именами Fancy Bear, APT 28 и другими. В качестве приманки злоумышленники используют подставной документ, посвященный конференции CyCon U.S.

CyCon позиционируется как международная конференция по киберконфликтам, которая пройдет с 7 по 9 ноября в Вашингтоне, округ Колумбия, под крылом Объединенного центра передовых технологий по киберобороне НАТО.

Специалисты Cisco проанализировали командный трафик, ведущий на сервер злоумышленников myinfestgroup[.]com, и обнаружили всплеск посещений в этом домене 7 октября, три дня спустя после создания документа-приманки.

В Cisco считают, что за этой кампанией стоит Sofacy, поскольку в ней используется дроппер Seduploader, ранее замеченный в других кампаниях этой APT-группы. Злоумышленники решили не основывать эту атаку на эксплойтах, а положились на встроенный в документ-приманку макрос, который скачивает дроппер из Интернета.

«Хакеры из Sofacy уже много лет пользуются этим шпионским зловредом. Он состоит из двух файлов: самого дроппера и полезной нагрузки. Дроппер и полезная нагрузка схожи с предыдущими версиями, но автор изменил некоторую открытую информацию, такую как имя мьютекса и ключи обфускации, — отметили в Cisco. — Как мы предполагаем, они так поступили, чтобы зловред не обнаруживался по общедоступным индикаторам компрометации».

Двухстраничный документ-приманка содержит скопированную без каких-либо изменений информацию с веб-сайта конференции, а также логотип, данные о спонсорах и описание темы мероприятия. Злоумышленники просто скопировали и вставили информацию в документ Word и встроили в него макрос.

«Вредоносный код извлекает сведения из свойств документа, таких как Subject, Company, Category, Hyperlinkbase и, наконец, Comments. Некоторые сведения можно увидеть прямо из проводника Windows, просто посмотрев свойства файла, — сообщили специалисты Cisco. — Поле Hyperlinkbase извлекается другим инструментом, способным отыскивать длинные строки данных. Внимательно анализируйте содержимое этих полей, поскольку они кодируются в формате base64».

Новоявленный дроппер отличается от использованных в предыдущих кампаниях. По данным Cisco, эта разновидность не пытается повысить привилегии, а просто выполняет код полезной нагрузки и закрепляется в системе такими же методами, как и в прошлых атаках.

Seduploader предлагает широчайшие возможности разведки и шпионажа: съемку скриншотов, вывод данных, конфигурирование, а также возможность загрузки и выполнения кода.

Самое заметное изменение в поведении дроппера, согласно Cisco, заключается в том, что он запускает полезную нагрузку в виде самостоятельного пакета.

«Причины нам неизвестны, но мы предполагаем, что они не хотели раскрывать какие-либо эксплойты, чтобы приберечь их для других операций, — прокомментировали в Cisco. — Преступники нередко избегают эксплойтов, поскольку ИБ-исследователи могут в конечном счете найти связанные уязвимости и пропатчить их, закрыв лазейку для злоумышленников. Кроме того, авторы немного обновили свой код на основе свежих публикаций от экспертов по безопасности, что, конечно, весьма типично для взломщиков такого класса. Когда их кампании разоблачают, они стараются перейти на другие инструменты, чтобы избежать обнаружения».

26.10.2017 11:49