StrongPity APT

Участников APT-групп интересуют конфиденциальные данные, и одна из таких группировок атакует пользователей, которые тщательно охраняют свою информацию. В целях внедрения и шпионажа эта APT-группа, известная как StrongPity, использует, как и прочие, эксплойты для уязвимостей нулевого дня, а также модульные инструменты атаки. Тем не менее минувшим летом в ее modus operandi наметился новый поворот: StrongPity начала использовать метод водопоя, раздавая вредоносные версии WinRAR и TrueCrypt — бесплатных утилит шифрования, издавна популярных у пользователей, озабоченных защитой и сохранностью данных. По свидетельству аналитика из «Лаборатории Касперского» Курта Баумгартнера (Kurt Baumgartner), недавно активность StrongPity заметно повысилась, особенно на территории Бельгии и Италии. На прошлой неделе «лаборанты» опубликовали отчет о летних похождениях этой APT-группы в странах Западной Европы, Африки и Ближнего Востока.

По словам Баумгартнера, метод водопоя, предполагающий компрометацию популярных сайтов, интересных для избранных мишеней, для StrongPity внове. Злоумышленники пытаются заставить посетителей загрузить троянизированную версию WinRAR или TrueCrypt, чтобы впоследствии иметь возможность просматривать данные в статике и динамике. «Для тех, кто полагается на такие инструменты, угрозу может составить не степень надежности криптозащиты, а скорее способ ее распространения, — говорит Баумгартнер. — Именно этой лазейкой и воспользовалась StrongPity». Программа архивирования WinRAR шифрует файлы ключом AES-256. Утилита TrueCrypt, позволяющая полностью шифровать разделы диска, в последние пару лет испытывает определенные трудности. В 2014 году разработчики внезапно свернули проект, предупредив всех, что данный инструмент небезопасен. С тех пор коды TrueCrypt, в том числе используемые шифры, дважды подвергались аудиту; в итоге были выявлены несколько уязвимостей, но бэкдоров, против ожидания, найдено не было. Тем не менее обновления TrueCrypt уже не получает, хотя до сих пор доступна для скачивания на Sourceforge и в других источниках. Со слов Баумгартнера, многие пользователи по-прежнему сочетают WinRAR и TrueCrypt, чтобы обеспечить «вариант сквозного шифрования для бедных». Эта комбинация особенно часто встречается при использовании приложений совместного доступа к файлам — Filezilla, Putty, Winscp, а также RDP-клиента для Windows. По данным «Лаборатории», в арсенале StrongPity имеются зловреды, атакующие именно такие приложения.

«Эти инструменты, WinRAR и TrueCrypt, используют очень эффективные криптотехнологии, — комментирует Баумгартнер. — В данном случае StrongPity, можно сказать, идет по линии наименьшего сопротивления. Они устанавливают вредоносную программу, чтобы увидеть данные, шифруемые этими приложениями, и надеются все просмотреть до начала шифрования». Атаки методом водопоя в мире APT — не редкость. Так, в 2014 году этот способ распространения вредоносного ПО активно использовала команда Crouching Yeti, раздававшая троянизированные версии софта для АСУ ТП, чтобы проникнуть в критически важные инфраструктуры. StrongPity в данном случае зарегистрировала домен, схожий с rarlab[.]com, легитимным источником WinRAR, и внедрила ссылки на вредоносный ralrab[.]com на сайты европейских дистрибьюторов. В итоге при скачивании посетитель вместо архиватора получал его троянизированную версию. Первые редиректы на страницах winrar[.]be «лаборанты» обнаружили 28 мая. В Италии злоумышленники не использовали перенаправление, посетители легального сайта получали зловреда напрямую. Эта схема заражения, по свидетельству Баумгартнера, была запущена 24 мая.

В прошлом месяце StrongPity объявилась также на сайтах обмена локализованным ПО. Так, при скачивании TrueCrypt с tamindir[.]com визитер перенаправлялся в домен true-crypt[.], контролируемый злоумышленниками, где ему отдавалась троянизированная версия утилиты шифрования.

Баумгартнер также отметил, что вредоносный дроппер, используемый StrongPity, подписан «необычными цифровыми сертификатами». Зловред загружает компоненты, позволяющие не только установить контроль над системой, но также украсть содержимое диска и закачать другие модули, способные воровать информацию о коммуникациях жертвы и ее контактах. Одним из таких компонентов является бэкдор, через который можно подавать команды и выгружать данные. Еще один вредоносный компонент составляет шифрованные списки программ, передающих данные по защищенным каналам.

Источник: threatpost.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s