Кибершпионы атаковали десятки отраслей новым вариантом бэкдора Bandook
30 ноября 2020 года
Киберпреступники, подозреваемые в связях с правительствами Казахстана и Ливана, организовали масштабную вредоносную кампанию по кибершпионажу против множества отраслей и используют новую версию бэкдора 13-летней давности.
Вредоносное ПО Bandook использовалось в кампаниях 2015 и 2017 годов, получивших название Operation Manul и Dark Caracal соответственно. Предполагалось, что данные кампании проводились правительствами Казахстана и Ливана.
Специалисты из компании Check Point Research рассказали об усилиях преступников по развертыванию десятков вариантов трояна Bandook с цифровой подписью для Windows за последний год. Преступники атаковали государственные, финансовые, энергетические организации, IT-компании, юридические учреждения, а также предприятия в сфере пищевой промышленности, здравоохранения и образования на Кипре, в Чили, Германии, Индонезии, Италии, Сингапуре, Швейцарии, Турции и США.
Как полагают эксперты, большое разнообразие целей подтверждает гипотезу о том, что вредоносное ПО не разрабатывается собственными силами злоумышленников и не используется каким-то одним лицом, а является частью наступательной инфраструктуры, продаваемой третьей стороной правительствам и хакерам по всему миру.
Атаки с использованием вредоноса Bandook осуществляются в три этапа. Они начинаются с отправки поддельного документа Microsoft Word в ZIP-файле, который при открытии загружает вредоносные макросы для загрузки и выполнения второго этапа — PowerShell-скрипта, зашифрованного внутри исходного документа Word.
На последнем этапе атаки PowerShell-скрипт используется для загрузки зашифрованных исполняемых частей из служб облачного хранилища, таких как Dropbox или Bitbucket, для сборки загрузчика Bandook, который затем внедряет RAT в новый процесс Internet Explorer.
Bandook RAT обладает всеми возможностями бэкдоров, поскольку устанавливает связь с удаленно управляемым C&C-сервером для получения дополнительных команд, начиная от создания снимков экрана и заканчивая выполнением различных операций с файлами.
Но, по словам специалистов, новый вариант Bandook представляет собой упрощенную версию вредоносного ПО с поддержкой только 11 команд, тогда как предыдущие версии содержали до 120 команд. Это свидетельствует о желании операторов уменьшить количество цифровых следов вредоносного ПО и повысить шансы вредоноса избежать обнаружения.
Кроме того, для подписи новой версии исполняемого файла вредоносного ПО использовались не только действительные сертификаты, выданные Certum. Исследователи обнаружили еще два образца — полнофункциональные варианты с цифровой подписью и неподписанные варианты, которые, предположительно, управляются и продаются одним лицом.
Источники править
Эта статья содержит материалы из статьи «Кибершпионы атаковали десятки отраслей новым вариантом бэкдора Bandook», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.