ESET о новых возможностях группировок Sednit и Turla
Компания ESET обнародовала результаты изучения возможностей бэкдора Zebrocy группировки Sednit (известной также под названиями APT28, Fancy Bear и Sofacy). Вредоносная программа теперь способна выполнять более 30 команд, а ее обнаружение стало еще сложнее.
В августе прошлого года группировка Sednit развернула первые компоненты программы Zebrocy. Киберпреступники рассылали фишинговые письма с прикрепленным архивом, в котором содержались исполняемый файл и PDF-документ в качестве приманки. Как подчеркивают в ESET, группировка редко использует методы социальной инженерии для доставки компонентов вредоносных программ, обычно прибегая к помощи эксплойтов.
После компрометации компьютера злоумышленники посылают первые команды на зараженное устройство. Эксперты ESET отмечают, что между запуском вредоносного загрузчика и отправкой первой команды проходит всего несколько минут. Изучение набора команд дает основание полагать, что процесс может быть автоматизирован. На первом его этапе посылается команда собрать информацию о компьютере, после чего запускаются вредоносные бинарные файлы, и извлекается интересующая киберпреступников информация. Если компьютер жертвы покажется им достаточно интересным, они разворачивают дополнительный бэкдор для перехвата COM-объектов. Это ведет к повышенной персистентности вредоносной программы, даже если бэкдор устанавливался всего на несколько часов. Всего операторы Zebrocy могут посылать более 30 команд на скомпрометированное устройство.
По мнению специалистов ESET, Zebrocy не так просто обнаружить по сравнению с обычными бэкдорами, поскольку операторы программы удаляют следы злонамеренной деятельности сразу же после завершения операции. Антивирусные продукты ESET детектируют эти угрозы как Win32/TrojanDownloader.Sednit.CMT, Win32/HackTool.PSWDump.D, Win32/PSW.Agent.OGE.
Группировка Sednit, по данным ESET, действует как минимум с 2004 г., ее основная цель – кража конфиденциальной информации у финансовых, правительственных и общественных организаций. Группе приписывают атаки на Национальный комитет Демпартии США, парламент ФРГ, антидопинговое агентство WADA и телеканал TV5 Monde (Франция). Sednit стала первой группировкой, которая использовала UEFI-руткит под названием LoJax.
Кроме того, ESET недавно сообщала о новых инструментах группировки Turla. Киберпреступники начали применять скрипты PowerShell, которые усложняют обнаружение вредоносных программ и сохраняют повышенную персистентность.
Специалисты ESET зафиксировали несколько кибератак на дипломатические учреждения в Восточной Европе, в которых использовались скрипты PowerShell, позволяюющие загружать и запускать вредоносные программы прямо в памяти. Этот способ более эффективен для сокрытия вредоносной активности по сравнению с традиционным сохранением исполняемого файла на диск. Эксперты ESET отмечают, что PowerShell-скрипты являются неотъемлемыми компонентами, позволяющими загрузить RPC- и PowerShell-бэкдоры.
Ранее киберпреступники уже пытались использовать загрузчики PowerShell, однако кампанию не удалось запустить из-за многочисленных багов. Сейчас Turla улучшила скрипты и теперь использует их для загрузки широкого спектра вредоносных программ. Любопытно, что в новых атаках группировка использует бесплатный сервис электронной почты GMX.
Несмотря на использование скриптов PowerShell, антивирусные продукты по-прежнему могут детектировать вредоносную полезную нагрузку. Эксперты выделяют два вида бэкдоров, один из которых получает контроль над устройствами локальной сети без привязки к внешнему C&C-серверу (бэкдор на базе RPC-протокола). Другой, PowerStallion, использует хранилище Microsoft OneDrive в качестве C&C-сервера. Как считают эксперты ESET, этот бэкдор помогает восстанавливать доступ в тех случаях, когда основные вредоносные программы заблокированы и не имеют доступ к скомпрометированным компьютерам.
Решения ESET детектируют эти угрозы как PowerShell/Turla.T, Win64/Turla.BQ, Win64/Turla.BQ, Win32/Turla.BZ, Win64/Turla.BS, Win64/Turla.BR
Группировка Turla получила известность в 2008 г., после взлома сети центрального командования Вооруженных сил США. Цель киберпреступников – кража конфиденциальных данных, представляющих стратегическую важность. Их жертвами в разные годы становились Министерство иностранных дел Финляндии (2013), правительство Германии (2017).