Спецпроекты

Безопасность Бизнес Телеком Маркет

Телеком-гиганту и производителю трансформеров прицельно подбросили необычные файлы

Ряд известных компаний был атакован неизвестными злоумышленниками, использовавшими файлы SLK для Microsoft Excel, чтобы установить RAT-инструмент в локальные сети. Насколько успешными были атаки, пока неизвестно.

Предлагаем вашему вниманию...

Сразу тринадцать крупных компаний, в том числе корпорация игрушек Hasbro, выпускающая трансформеров, и телеком-гигант Iridium, стали объектами масштабной фишинговой кампании. Конечной целью злоумышленников была, по-видимому, установка в их локальные сети инструмента для удаленного администрирования.

Кампания, которую обнаружили эксперты Malware Hunter Team, проводилась весьма осмысленно: злоумышленники использовали нетипичный формат вложений в фишинговые письма; каждое послание и каждое вложение было адаптировано под целевую организацию. Письма имитировали деловую переписку — каждое послание якобы исходило от клиента или подрядчика компании, и в них даже содержались предложения перезвонить, если потребуется.

Рассылка, впрочем, производилась с адресов в бесплатном сервисе Hotmail, что уже могло бы вызывать подозрения.

trans600.jpg
Фишеры пытались взломать Hasbro с помощью «символических ссылок»

К настоящему времени атаки были также направлены на компании A2B Austarlia Limited, Asarco LLC, Aus Net Services, Bega Cheese, Boc GroupI nc, Glad Products Company, Hydratight, Messer LLC, Mutual Bank, Pact Group и Sappi North America. На самом деле, атаке могли подвергнуться и многие другие структуры.

Информации о том, были ли случаи успешной компрометации, нет.

Нетипичный формат

Что касается формата вложения, то здесь все оказалось довольно своеобразно. К каждому фишинговому посланию прилагался файл с расширением .SLK. Это Symbolic Link, формат файлов для обмена данными между таблицами Microsoft Excel. Иконка, обозначающая эти файлы, сильно напоминает иконку Excel. Этот формат файлов, можно использовать и для встраивания активного содержимого в таблицы, и запуска команд EEXEC в Excel. На данную функциональность, собственно, злоумышленники и рассчитывали.

При открытии вложения пользователю предлагается разрешить редактирование (Enable Editing) и включить содержимое (Enable Content). То есть, по сути, снять всякую защиту от потенциально вредоносных макросов и активных модулей.

Если пользователь нажимает Enable Content, SLK-файл из вложения срабатывает и запускает команды EEXEC, создавая на жестком диске (в папке временных файлов) batch-файл и запуская его.

Этот файл, в свою очередь, пытается скачать с удаленного сервера и запустить локально файл .MSI (установщик приложений для Windows). Сервер, на котором лежал этот файл, уже не функционирует. По данным Malware Hunter Team, это было приложение Net Support Manager — вполне легитимный кроссплатформенный инструмент удаленного администрирования, который едва ли будет распознаваться антивирусами и другими защитными средствами.

По идее такой инструмент обеспечивает злоумышленникам режим наибольшего благоприятствования в чужих сетях, вплоть до полной компрометации любых ресурсов и любой содержащейся в них информации.

«Корпоративные сети крупных компаний — безусловно, золотое дно для киберзлоумышленников, если они находят способ проникать и перемещаться внутри них с минимальными затратами усилий, — говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Кража данных, кража денег, заражение ключевых ресурсов шифровальщиками — все это становится возможным при успешной компрометации. Фишинг — по-прежнему эффективное средство для такой компрометации, и, учитывая соотношение необходимых затрат и возможных результатов, подчас очень прибыльное. Единственный способ защититься от таких атак — постоянно обучать персонал распознавать фишинг и соблюдать правила безопасности. И, если в письме есть вложение с активным содержимым, то его источник необходимо перепроверять по иным, нежели электронная почта, каналам».

Роман Георгиев

Короткая ссылка