Шпионский троян использует для работы серверы «Яндекс» и Twitter
Компания Talos исследовала работу шпионского трояна Rokrat, который использует для поддержания своей инфраструктуры ресурсы «Яндекса», Twitter и Mediafire.Документы с вложением
Эксперты компании Talos заявили, что облачные сервисы «Яндекса» и Twitter используются для хостинга вредоносных командных серверов и передачи данных недавно обнаруженной вредоносной программой Rokrat, используемой в шпионских целях.
Как поясняется в публикации Talos, Rokrat представляет собой вредоносный инструмент удаленного администрирования (Remote Administration Tool - RAT), который используется в новой кампании, направленной против пользователей из Южной Кореи.
Атака на пользователей начинается с рассылки фишинговых писем с вложенными документами в формате HWP. Это формат крайне популярного в Южной Корее текстового редактора Hangul, поддерживающего корейский алфавит.
HWP-документ содержал встроенный объект EPS (Encapsulated PostScript) с эксплойтом для известной уязвимости CVE-2013-0808, которая, в свою очередь, используется для загрузки двоичного файла, имитирующего изображение в формате jpg. Этот исполняемый файл и является RAT-инструментом.
Windows XP и системы виртуализации
Rokrat уходит в «спящий» режим, если оказывается в среде Windows XP. Кроме того, он целенаправленно ищет в системе процессы, связанные с системами виртуализации и мониторинга.
Если Rokrat обнаруживает один из этих процессов, или подвергается воздействию программ отладки, или запущен не из-под HWP-документа, он начинает генерировать большое количество «пустого» HTTP-трафика к Amazon и Hulu, очевидно, чтобы сбить с толку исследователей и сформировать фальшивые индикаторы заражения.
Для чего трояну инфраструктура «Яндекса» и Twitter
Rokrat способен делать снимки экрана и оснащен функциями кейлоггера.
Для связи зараженных ПК с командной инфраструктурой Rokrat использует ресурсы известных глобальных сервисов. В частности, исследователи Talos обнаружили семь «зашитых» в код трояна API-токенов Twitter, четыре токена «Яндекса» и один аккаунт хостингового сервиса Mediafire.
Twitter используется для хостинга командного сервера и получения Rokrat команд от своих операторов. Серверы Яндекс и Mediafire - как для хостинга командных серверов, так и для передачи данных.
Как указывают эксперты Talos, использование этих сервисов чрезвычайно затрудняют блокировку, - это легитимные и очень популярные платформы, хотя, конечно, обращение из Южной Кореи к «Яндексу» - довольно странное явление.
Представители «Яндекса», комментируя исследование Talos, зявили, что, по данным компании, злоумышленники использовали «Яндекс.Диск» для хранения файлов, которые были украдены с разных устройств. Сейчас команда «Яндекса» расследует ситуацию и планирует заблокировать аккаунты злоумышленников.
«Первейшая задача любого шпиона - оставаться незамеченным насколько возможно долго. Это же касается и кибершпионов и их инструментов. Функции, обеспечивающие скрытность Rokrat, указывает на высокую мотивацию и если не высокий профессионализм, то, по крайней мере, повышенную изобретательность его создателей, - говорит Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности». - В данном случае весьма настораживает тот факт, что киберпреступники столь успешно используют легитимные платформы для сокрытия управляющих серверов и передачи украденных данных».