Спецпроекты

ПО Безопасность Бизнес Интернет

Хакеры прикрылись уважаемыми веб-ресурсами для захвата контроля над ПК по всему миру

Злоумышленники используют инфраструктуру легитимных и популярных ресурсов для поэтапной загрузки вредоносных скриптов на компьютеры жертвы. Но начинается все с фишингового письма.

У нас все чисто

Неизвестные злоумышленники распространяют троянец RevengeRAT, используя инфраструктуру таких легитимных ресурсов как инструмент для сокращения ссылок Bit.ly, блог-платформу BlogSpot и веб-приложение для просмотра кода Pastebin.

Эксперты Palo Alto Networks выявили вредоносную кампанию, получившую название Aggah. Она направлена на организации самого широкого спектра — от технологических компаний до гостиничных сетей и правительственных структур. Основным инструментом Aggah является троянец для получения удаленного доступа, известный как минимум с 2016 г. — впервые он был замечен на хакерском форуме DevPoint.

RevengeRAT способен открывать удаленные оболочки на зараженной машине, так что злоумышленник получает возможность управлять системными файлами, процессами и службами, редактировать реестр Windows, отслеживать IP-адрес жертвы, редактировать файл hosts, записывать нажатия клавиш, выгружать пользовательские пароли и получать доступ к веб-камере. Иными словами, машина оказывается почти под полным контролем злоумышленника, и все данные, проходящие через нее, тоже.

Поэтапное заражение

Заражение RevengeRAT производится в несколько этапов. Первым делом жертве присылается фишинговое письмо с документом Word и привлекающим внимание заголовком, в частности, «Ваш счет заблокирован». При первом открытии выводится экран с предложением открыть документ в десктопной версии MicrosoftOfficeWord, разрешить редактирование и активировать его содержимое — все это под предлогом того, что документ создан в более старой версии Word.

Шпионский троянец распространяется с помощью Bit.ly, BlogSpot и Pastebin

Если жертва попадается на этот довольно банальный трюк, к оригинальному документу с удаленного ресурса докачивается OLE-файл, содержащий встроенный документ Excel с вредоносными макросами. Интеграция этого документа в оригинальный производится посредством инъекции шаблона.

Вредоносный документ Excel обращается к замаскированным bit.ly ресурсам в блог-платформе BlogSpot (Blogger) для получения скрипта JavaScript, который после попадания на машину пытается нейтрализовать WindowsDefender (уничтожая файл с сигнатурами и убивая его процесс вместе с процессами нескольких других приложений Office). Потом скрипт делает макросы в локальных инсталляциях Word, PowerPoint и Excel активными по умолчанию. Затем скрипт скачивает новые вредоносные компоненты с Pastebin, а также создает запускаемую по расписанию задачу и ключ в реестре Windows для последующего скачивания и запуска скрипта с URLPastebin.

В итоге с Pastebin и закачивается код троянца RevengeRAT, настроенный на использование домена lulla.duckdns[.]org в качестве контрольного сервера.

История вопроса

Вредоносная кампания началась в конце марта 2019 г. с рассылки по нескольким организациям в отдельно взятой ближневосточной стране письма, якобы исходившего от крупного финансового учреждения.

Спустя четыре дня то же самое письмо было направлено финансовой организации в другой ближневосточной стране. Затем выяснилось, что аналогичные рассылки производились уже и в других азиатских странах, а также в Европе и США.

Всего исследователи насчитали более 1,9 тыс. кликов по вредоносной ссылке Bit.ly, исходящих с адресов в 20 разных странах. Между тем, весь список индикаторов компрометации Aggah содержит 33 разные ссылки bit.ly, и эксперты сомневаются, что этот список полный.

Исследователям также удалось найти ряд других контрольных серверов и вариаций RevengeRAT, связанных с этой кампанией, так что ее размах может быть очень велик.

Эксперты подозревают, что за ней стоит группировка GorgonGroup/Subaat, однако неоспоримых доказательств этому пока найти не удалось.

«Использование легитимных и массово используемых ресурсов, таких как bit.ly, Blogger и Pastebin, — это неглупый, но и явно не новый способ маскировать источники вредоносного кода и защищать его от антивирусов, — отмечает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. — Но первый этап заражения все равно сводится к социальной инженерии и только неосторожность пользователей может позволить троянцу проникнуть на компьютер».

Роман Георгиев

Короткая ссылка