Кибершпионская кампания на основе социальной инженерии
По сообщению компании ESET, ее специалисты выявили новую кибершпионскую операцию, нацеленную на правительственные учреждения Украины. По данным телеметрии ESET, насчитывается несколько сотен жертв в разных организациях.
За деятельностью кибергруппы, проводящей эту операцию, ESET наблюдает с середины 2017 г. Злоумышленники используют три инструмента удаленного управления: Quasar, Sobaken и Vermin, которые позволяют управлять зараженными системами и красть конфиденциальные документы. Они одновременно применяются на одних и тех же целевых компьютерах, частично делят инфраструктуру и подключаются к общим управляющим серверам.
Quasar – инструмент удаленного управления на базе открытого исходного кода, доступного на GitHub. Специалисты ESET отследили кампании с использованием Quasar с октября 2015 г. Sobaken – модифицированная версия Quasar. Ее авторы отказались от части функций вредоносной программы, чтобы сделать исполняемый файл меньше, а также внедрили инструменты для обхода песочницы и другие техники, позволяющие избегать обнаружения.
Vermin – сложный кастомный бэкдор, разработанный для данной кампании. Он был впервые замечен «в дикой природе» в середине 2016 г. и продолжает использоваться в настоящее время. Как и Quasar и Sobaken, он написан в .NET. Код защищен от анализа с помощью коммерческой системы защиты и общедоступных инструментов. Последняя известная версия Vermin поддерживает 24 команды и несколько дополнительных: например, предусмотрена функция записи звука с микрофона зараженного устройства, кейлоггер и средство кражи паролей.
Программы распространяются с помощью фишинговых рассылок. В большинстве случаев названия файлов-приманок написаны на украинском языке и имеют отношение к работе потенциальных жертв. Помимо социальной инженерии, атакующие используют технические средства: сокрытие настоящих расширений файлов с помощью символа Unicode, вложения, замаскированные под архивы RAR, документы Word с эксплойтом уязвимости CVE-2017-0199.
Как считают в ESET, новая кампания доказывает, что кибершпионские операции, построенные на социальной инженерии, могут быть не менее успешны, чем атаки с использованием сложного вредоносного ПО.