Атаки Gamaredon с использованием инструментов Microsoft Office
Компания ESET сообщила о всплеске активности группы киберпреступников Gamaredon. Атаки включали рассылку жертвам документов с вредоносными макросами, при выполнении которых возможна загрузка различных видов вредоносного ПО. Как отмечают эксперты ESET, такая схема распространения встречается довольно редко.
Gamaredon использует пакет, включающий кастомный проект Microsoft Outlook Visual Basic for Applications (VBA). Злоумышленники с помощью VBScript завершают процессы в Outlook, изменяют значения реестра и отключают безопасное выполнение макроса VBA. На диске сохраняется вредоносный файл ОТМ (Outlook VBA project), содержащий макрос, вредоносное e-mail вложение, а в ряде случаев и список контактов, которым должны быть отправлены сообщения.
Далее Outlook перезапускается со специальной опцией /altvba
Кроме того, с помощью новых инструментов злоумышленники добавляют вредоносные макросы или ссылки на удаленные шаблоны в существующие документы атакованной системы. Это эффективный способ распространения вредоносного ПО в корпоративной сети компании, поскольку файлы, как правило, циркулируют в системе и передаются между коллегами. Благодаря специальной функции, которая позволяет изменять настройки безопасности макросов Microsoft Office, зараженные пользователи не подозревают, что они подвергают риску свои рабочие станции каждый раз при открытии документов.
Gamaderon использует бэкдоры и программы для похищения файлов с целью идентификации и сбора конфиденциальных документов в зараженной системе и загрузки их на C&C-сервер. Для похищения документов ПО также способно выполнять команды с удаленного сервера.