Продолжатель дела RedOctober

Центр глобальных исследований и анализа угроз «Лаборатории Касперского» (GReAT) недавно раскрыл подробности многомесячного мониторинга новой APT под кодовым обозначением Cloud Atlas. Это сложная кибершпионская операция является «духовным наследником» кампании RedOctober и, скорее всего, за ней стоят те же самые люди.

Операция RedOctober была спешно свёрнута сразу после публикации «Лаборатории Касперского» в январе 2013 года. Если учесть глобальный характер и крупные вложения в кампанию, не было никаких оснований предполагать, что RedOctober полностью сойдёт со сцены.

Cloud Atlas была впервые обнаружена в августе 2014 года Некоторые из пользователей продуктов «Лаборатории Касперского» засекли направленные атаки с использованием варианта CVE-2012-0158 и необычного набора вредоносных программ.

Вышеупомянутая уязвимость присутствовала в Windows Common Controls и допускала возможность удалённого исполнения кода. Она затрагивала большое количество продуктов Microsoft, а именно 32-разрядные версии Microsoft Office 2003, 2007 и 2010, Microsoft SQL Server 2000, 2005, 2008 и 2008 R2, а также Fox Pro, Visual Basic и другое серверное программное обеспечение Microsoft. Это довольно большая площадь атаки. Тем не менее, начальный вектор атаки Cloud Atlas был направлен на документы Microsoft Word (со старым расширением файла .doc). Большинство документов в перечне GReAT имеют русские названия. Тем не менее, один из них – тот самый, который вызвал подозрения в том, что Cloud Atlas может быть связан с RedOctober, — значится под именем «Car for sale.doc». В RedOctober использовался «Diplomatic Car for Sale.doc».

Дальнейший анализ подтвердил предположение: налицо несколько технических сходств, показывающих, что (вероятнее всего) те же люди, которые создавали вредоносные инструменты для RedOctober, поработали и с Cloud Atlas.

Cходства:

  • вредоносные компоненты как Cloud Atlas, так и RedOctober используют сходные конструкции загрузки и конечной полезной нагрузки, которая хранится, шифруется и сжимается в стороннем файле. При этом алгоритмы шифрования используются разные;
  • обе вредоносные программы несут в себе один код алгоритма сжатия LZMA. В Cloud Atlas он используется для архивации логов и распаковки расшифрованной полезной нагрузки с серверов C&C, в то время как в RedOctober плагин «планировщика» применяет его для распаковки исполняемых файлов полезной нагрузки с командно-контрольных серверов. Реализация алгоритма идентична в обоих вредоносных модулях, но способы вызова отличаются;
  • двоичные файлы и RedOctober, и Cloud Atlas выглядят скомпилированными посредством одной и той же версии Microsoft Visual Studio вплоть до номера сборки версии и с использованием аналогичных конфигураций проекта. Наличествует чёткое «перекрытие целей» между RedOctober и Cloud Atlas при условии расположения большинства мишеней в России и Казахстане;
  • самый выдающейся и отличительной чертой APT Cloud Atlas является тот факт, что эксплойт не прописывает бэкдор непосредственно на диске. Вместо этого он размещает зашифрованный скрипт Visual Basic, который сбрасывает полиморфный загрузчик и зашифрованную полезную нагрузку, которая каждый раз получает другое имя. Для обеспечения непрерывности также добавляется ключ реестра в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.

Источник: business.kaspersky.ru

Реклама
Запись опубликована в рубрике News. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s