Поделиться
Хакеры научились атаковать ПК через систему обработки ошибок Windows
Серия прицельных фишинговых атак со стороны неизвестной APT-группировки характеризуется использованием бесфайловых вредоносов, встраивающихся в системный процесс Windows Error Reporting.
У вас Windows ошиблась
Неизвестная APT-группировка атакует жертв с помощью бесфайлового ПО, встраивающегося в службу Windows Error Reporting (WER, сообщения об ошибках). Впрочем, атака начинается со спиэр-фишинга.
Как выяснили эксперты компании Malwarebytes, злоумышленники скомпрометировали некий популярный веб-сайт и использовали фреймворк CactusTorch для осуществления своих атак. Первая атака этой группировки была отмечена 17 сентября 2020 г. Исследователям попались фишинговые письма, содержавшие документ в архиве ZIP. Тематика писем была связана с правом работников на некую компенсацию.
Сразу после открытия документ с помощью вредоносного макроса CactusTorch запускает шеллкод, загружающий в память системы бесфайловый вредонос (на базе .NET), который, в свою очередь, встраивает еще один шеллкод в процесс WerFault.exe — систему обработки ошибок в Windows.
Подобная методика применяется не впервые: ее использовали авторы таких вредоносов как шифровальщик Cerber и RAT-троянец NetWire.
Отладчика нет? Работаем!
Инфицированная служба WER производит несколько проверок на предмет присутствия виртуализированных сред, сэндбоксов или отладчиков. Если их не обнаруживается, то производится распаковка и загрузка последнего шеллкода, который должен загрузить еще один вредоносный компонент — в виде поддельного ярлычка веб-сайта. Перехватить и проанализировать его исследователям не удалось, поскольку сервер, с которого этот компонент подтягивается, был отключен.
Исследователи не смогли с уверенностью соотнести данные атаки ни с одной известной кибергруппировкой. Некоторые индикаторы компрометации и методики позволяют предположить связь с вьетнамской группой APT32 (она же OceanLotus и SeaLotus). Эта группировка, в частности, также использует CactusTorch. Вдобавок домен, ссылки на который содержатся в фишинговых письмах (yourrighttocompensation.com) зарегистрирован в Хошимине, крупнейшем городе на севере Вьетнамской республики.
APT32 ранее атаковала компании, инвестирующие в разные отрасли вьетнамской промышленности и сферы услуг, а также исследовательские учреждения во всем мире и правозащитные организации. Кроме того, ее операторы организовывали шпионские атаки против китайских судостроительных фирм.
Тем не менее, исследователи Malwarebytes говорят, что без изучения финального вредоносного компонента утверждать, что за атаками стоит именно APT32, невозможно.
«Бесфайловые вредоносы несут особую угрозу, поскольку их обнаружение существенно затруднено, однако главный вопрос — это изначальный вектор атаки, — считает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — В спиэр-фишинге нет ничего радикально нового и сверхтехнологичного. Они работают только в тех случаях, когда жертвы не могут отличить мошеннические письма от легитимных. Сообщения из непроверенных источников с вложениями, которые пытаются заставить пользователя активировать содержимое, — это повод немедленно проинформировать специалистов по информбезопасности».
Поделиться
Короткая ссылка
