Руски хакери използват фалшиви документи за обучения на НАТО, за да пробият правителствени мрежи
Руска хакерска група, известна под имената APT28, Fancy Bear, Sofacy, Sednit и STRONTIUM, стои зад целенасочена атака, насочена към държавни органи.
Групата достави трудно откриваема верига от зловреден софтуер Zebrocy Delphi под предлог, че това са материали за обучения и тренинги на НАТО.
По-нататък изследователите инспектираха файловете, съдържащи полезния товар, и откриха тези имитирани JPG файлове, показващи изображения на НАТО при отваряне на компютъра.
Представен като учебни материали на НАТО
През август тази година екипът на Qi’anxin Red Raindrops съобщи, че е открил кампания APT28, която доставя Zebrocy – зловреден софтуер, маскиран като учебни материали на НАТО. Компанията за разузнаване QuoIntelligence обаче предупреди своите клиенти в правителствения сектор за тази кампания още на 8 август, доста преди информацията за нея да стане публично достояние.
Изследователите на QuoIntelligence предоставиха на обществеността допълнителен анализ и със средно висока увереност установиха, че кампанията е насочена към поне една държава от Близкия изток освен Азербайджан, както и към други страни, които членуват в НАТО.
“Въпреки че Азербайджан не е член на НАТО, той тясно си сътрудничи със Североатлантическия пакт и участва в ученията на НАТО. Освен това същата кампания много вероятно е насочена към други членове на НАТО или страни, които си сътрудничат с НАТО на ниво учения”, заяви компанията.
При откриването на злонамерената дейност QuoIntelligence докладва своите констатации на френските правоприлагащи органи.
Повече от изображение
Зловредният файл, разпространяван от APT28, е озаглавен „Курс 5 – 16 октомври 2020.zipx“
Естествено, за нищо неподозиращ потребител това ще изглежда като ZIP пакет, съдържащ учебни материали.
В нашия тест забелязахме още, че когато беше преименуван на “.jpg”, ZIP , архивът започна да се държи почти като легитимен файл с изображение. Това е така, както обясниха изследователите на QuoIntelligence, защото файлът съдържа легитимно JPG изображение с прикачен към него ZIP архив.
Файловите метаданни и свойства също показват MIME тип „image / jpeg“ с препратки към „JPEG данни за изображения“.
„Тази техника работи, защото JPEG файловете се анализират от началото на файла, а някои реализации на Zip анализират Zip файлове от края на файла (тъй като индексът се намира там), без да се гледа подписът отпред“, обясняват изследователите.
По време на анализите както от екипа на Qi’anxin Red Raindrops, така и от QuoIntelligence, установиха, че пробата от зловреден софтуер имаше много ниска степен на откриване едва 3 от 61 програми за киберсигурност успяха да го открият.
„Техниката се използва от авторите на заплахата и за да избегнат AV или други филтриращи системи, тъй като те могат да сбъркат файла с JPEG и да го пропуснат.
При извличане ZIP съдържа повреден файл на Excel (.xls) и друг файл със същото име “Курс 5 – 16 октомври 2020 г.”, но с разширение EXE.
В системите на Windows файлът “Курс 5 – 16 октомври 2020.exe” показва PDF икона (изпълнимите файлове позволяват използването на персонализирани икони на файлове в Windows).
Изследователите на QuoIntelligence предполагат, че това може да е преднамерена тактика, използвана от хакерската група, а подобни техники за заобикаляне на имейл шлюзовете са наблюдавани в миналото.
Предоставяйки материали за курсове в ZIP файл, който има умишлено повреден XLS файл, може да изкуши потребителя да щракне двукратно върху това, което прилича на PDF – EXE файла.
Краде и качва лични данни в интернет
Zebrocy, използван от тази кампания, е постоянна зараза от зловреден софтуер и задна врата, за която е известно, че носи множество възможности, като например разузнаване на системата, създаване / модификация на файлове, правене на скрийншотове на заразената машина, произволно изпълнение на команди и създаване на задачи под Windows.
Известно е също, че пробата пуска множество файлове в заразена система, което я прави “доста силна”.
В този случай полезният товар на Zebrocy (присъстващ в “Курс 5 – 16 октомври 2020.exe”) работи, като се репликира в “% AppData% \ Roaming \ Service \ 12345678 \ sqlservice.exe” и допълнително добавя рандомизирано 160-байтово петно към новосъздадения файл. Подплатените данни затрудняват откриването, базирано на хеш, чрез антивирусни машини, базирани на сигнатури, като променят контролната сума на получения файл.
Освен това зловредният софтуер създаде планирана задача на Windows, която се изпълнява всяка минута, като публикува откраднати данни на сървъра Command & Control (C2), посочват изследователите:
„Задачата се изпълнява редовно и се опитва да POST откраднати данни (например скрийншотове) до hxxp: //194.32.78 [.] 245 / protect / get-upd-id [.] Php“
Изглежда, че данните, предадени от зловредния софтуер, са замъглени и криптирани байтове, но числовият идентификатор (12345678 в този пример) остава постоянен между заявките.
Изследователите подозират, че това е уникален идентификатор на заразената машина, включен във всяка заявка от зловредния софтуер.
Подозрение: Целта е правителството на Азербайджан
QuoIntelligence подозира, че този зловреден софтуер е насочен към правителствени органи на Азербайджан въз основа на предишна кампания ReconHellcat, анализирана от компанията.
Трите прилики между тези проби осигуряват средно висока увереност на изследователите, че тази атака е насочена към конкретна правителствена организация, тази в Азербайджан:
Както компресираният зловреден софтуер Zebrocy, така и примамката на тема ОССЕ, използвана за изпускане на задната врата на BlackWater, бяха качени същия ден, на 5 август.
И двете проби са качени от един и същ потребител в Азербайджан и е много вероятно от една и съща организация. И двете атаки се случиха в един и същ период.
По материали от интернет