Целевая кибершпионская атака из Индии

Компания ESET опубликовала информацию об очередной целевой атаке, следы которой ведут в Индию. В рамках атаки был использован действительный цифровой сертификат, которым были подписаны вредоносные исполняемые файлы.

В одном из векторов атаки на пользователей злоумышленники использовали популярную уязвимость CVE-2012-0158. Эксплуатирование этой уязвимости происходило через сформированный специальным образом файл Microsoft Office. Другой вектор атаки заключался в использовании исполняемых файлов, которые были замаскированы под файлы Microsoft Word или PDF. Эти файлы распространялись через электронную почту.

Существует несколько типов полезной нагрузки, которые были использованы в этой атаке:

  • загрузчик файлов из сети Интернет с последующим запуском;
  • сборщик сведений о системе (ОС, ПО);
  • кейлоггер;
  • модуль снятия скриншотов;
  • бэкконнект shell;
  • инфектор USB носителей;
  • средства получения сохраненных паролей браузеров и почтовых клиентов, в качестве их использовалось легитимное ПО WebBrowserPassView и MailPassView от NirSoft.

Для автозапуска использовался метод размещения ярлыка в секции автозапуска меню «Пуск». Полученные данные отсылаются на командный сервер в открытом виде, что вызывает недоумение, так как значительно облегчает задачу по выявлению трафика, генерируемого вредоносной программой, системами IDS.

Анализ атаки позволил предположить географическое происхождение вредоносных файлов. С помощью нескольких ключевых индикаторов было установлено, что эти файлы были собраны в Индии. Вредоносные файлы были подписаны цифровой подписью, выданной индийской компании Technical and Commercial Consulting Pvt. Ltd. Кроме этого, временные отметки на подписи варьируются между 5:06 и 13:45 по UTC, что соответствует 8-ми часовому рабочему дню между 10:36 и 19:15 по часовому поясу Индии. Вполне вероятно, что авторы живут именно в этом часовом поясе. В нескольких вредоносных файлах были обнаружены строки, связанные с индийской культурой, а в некоторых скриптах используется переменная с именем ramukaka. Сочетание «Ramu Kaka» является довольно употребительным в фильмах болливуда и означает обслуживающий персонал. Так как эта переменная используется в функции, назначение которой обеспечение постоянства присутствия вредоносного кода в системе, это название довольно хорошо отражает ее функцию.

По данным систем телеметрии компаний ESET  и Symantec регионом, который больше всех пострадал от деятельности этой атаки, является Пакистан. В тоже время по данным, полученным в результате развертывания sinkhole, больше всего активных соединений (более 75%) приходится на Казахстан и Украину, и объяснения данному факту пока нет.

Запись опубликована в рубрике News. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google photo

Для комментария используется ваша учётная запись Google. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s