Злоумышленники используют бэкдор Gcat для кибератак на энергетические компании Украины

Ранее уже описывались детали вредоносных кампаний, которые были направлены против таких предприятий на западе Украины [1, 2]. В указанных кибератаках злоумышленники использовали троян BlackEnergy и специальный компонент KillDisk для выведения скомпрометированных систем из строя. Они также прибегали к помощи бэкдора Win32/SSHBearDoor.A для управления такими системами через SSH.

19 января удалось зафиксировать новые кибератаки на энергетические компании Украины. Несколько таких компаний, специализирующихся на поставках электроэнергии, были атакованы еще раз, уже после серии предыдущих кибератак и отключений электроэнергии в декабре.

Сценарий кибератаки очень похож на прошлые инциденты с BlackEnergy и не претерпел существенных изменений. Атакующие используют фишинговое сообщение электронной почты, которое отправляется на адрес жертвы и содержит в качестве вложения вредоносный XLS-файл.

Фишинговое сообщение или письмо содержит данные в формате HTML со ссылкой на файл .PNG, расположенный на удаленном сервере, таким образом атакующие реализуют механизм уведомления о доставке содержимого предполагаемой жертве. Схожий механизм использовался в прошлых кибератаках с использованием BlackEnergy.

Название этого PNG файла представляет из себя закодированную алгоритмом base64 строку «mail_victim’s_email».

Указанный документ-приманка содержит вредоносный макрос, который похож на использованный в прошлых кибератаках BlackEnergy. Используя методы социальной инженерии, макрос пытается обмануть жертву, саботируя ее на игнорирование сообщение безопасности Microsoft Office Security Warning. Текст сообщения в переводе с украинского звучит как: «Внимание! Данный документ был создан в более новой версии Microsoft Office. Находящиеся в нем макросы необходимы для отображения содержимого документа.»

Успешное исполнение макроса приводит к запуску вредоносного ПО, которое представляет из себя загрузчик или даунлоадер. Он пытается загрузить с удаленного сервера исполняемый файл полезной нагрузки и исполнить его.

Загружаемая полезная нагрузка расположена на сервере из Украины. Сервер был демонтирован после нашего обращения в организации CERT-UA и CyS-CERT.

В качестве полезной нагрузки загрузчика мы рассчитывали увидеть троян BlackEnergy, однако, в этот раз для кибератаки злоумышленники выбрали другую вредоносную программу. Они использовали для этого модифицированную версию бэкдора с открытыми исходными текстами под названием gcat, который написан на известном скриптовом языке программирования Python. Исходный текст бэкдора был скомпилирован в исполняемый файл с использованием инструмента PyInstaller.

Бэкдор специализируется на загрузке в скомпрометированную систему других исполняемых файлов и исполнение команд интерпретатора командной строки (shell). Прочие функции бэкдора, такие как, создание скриншотов, захват нажатий клавиш клавиатуры (кейлоггер), отправка файлов на удаленный сервер, были из него удалены. Управление бэкдором осуществлялось атакующими с использованием аккаунта Gmail, что усложняет обнаружение его вредоносного трафика в сети.

Источник: habrahabr.ru

Реклама
Запись опубликована в рубрике News. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s