Вредоносное ПО для целевых атак на промпредприятия
Компания «Лаборатория Касперского» сообщила о выявленном наборе вредоносных модулей MontysThree, который существует как минимум с 2018 г. и предназначен для целевых атак на промышленные предприятия. Он использует техники, помогающие избежать детектирования, в том числе общение с контрольно-командным сервером через публичные облачные сервисы и стеганографию.
Вредоносное ПО MontysThree состоит из четырех модулей. Атака начинается с распространения загрузчика с помощью фишинга через самораспаковывающиеся архивы. Названия файлов в таких архивах могут быть связаны со списками контактов сотрудников, технической документацией или результатами медицинских анализов. Загрузчик расшифровывает основной вредоносный модуль из растрового изображения со стеганографией. Для этого применяется специально разработанный алгоритм.
Основной модуль использует несколько алгоритмов шифрования, чтобы избежать детектирования, преимущественно RSA для коммуникаций с контрольным сервером и для расшифровки конфигурационных данных. В этих основанных на формате XML данных описываются задачи вредоносного ПО: поиск документов с заданными расширениями, в указанных директориях и на съемных носителях. Эта информация показывает, что операторов MontysThree интересуют документы Microsoft Office и Adobe Acrobat.
Помимо этого, модули могут снимать скриншоты рабочего стола, определять, интересна ли жертва операторам, анализируя ее сетевые и локальные настройки и т.д. Найденная информация шифруется и передается в публичные облачные сервисы (Google Drive, Microsoft One Drive, Dropbox), через них же происходит получение новых файлов.
MontysThree также использует простой метод закрепления в зараженной системе – панель быстрого запуска Windows Quick Launch. Пользователи, сами того не зная, запускают первичный модуль вредоносного ПО каждый раз, когда c помощью этой панели открывают легитимные приложения, например браузеры.
Эксперты «Лаборатории Касперского» не нашли никаких сходств этого вредоносного кода с кодом других целевых кампаний.
Как комментируют в «Лаборатории Касперского», атаки с использованием инструментов MontysThree выделяются не только тем, что нацелены на промышленные предприятия – не самые популярные мишени для целевых атак, но и сочетанием продвинутых и любительских тактик и методов. Уровень технических решений, по оценкам экспертов, в этом наборе инструментов заметно разнится, разработчики MontysThree используют современные надежные криптографические стандарты и кастомизированную стеганографию. Уровень разработки не так высок, как у крупных APT-игроков, но авторы вложили много сил в создание этого набора инструментов и продолжают его развивать, поэтому в «Лаборатории Касперского» предполагают, что у них есть вполне определенные цели и кампания не является краткосрочной.