Спецпроекты

Безопасность Бизнес ИТ в госсекторе

Хакеры терроризируют госструктуры и бизнес зараженными файлами в Excel и Word

Хакеры, вероятно связанные с Gaza Cybergang, но более аккуратные, смогли оставаться незамеченными около двух лет. В основном они используют довольно простые, но действенные методики обеспечения скрытности.

И снова макросы

«Лаборатория Касперского» опубликовала информацию о недавно обнаруженной кибергруппировке, которая занимается атаками на государственные, юридические и финансовые организации Ближнего Востока. Группировка использует в качестве основного инструмента вредоносные документы Microsoft Excel и Word.

По мнению экспертов «Лаборатории», группировка WIRTE имеет тесные связи с другой, политически мотивированной группой, известной как Gaza Cybergang.

«Операторы WIRTE используют простые и довольно распространенные методики и процедуры, которые позволяют им оставаться долгое время незамеченными, — говорится в публикации компании. — Эта подгруппа, по-видимому, связанная с Gaza Cybergang, использует простые, но эффективные методы компрометации жертв, демонстрируя более высокий уровень операционной скрытности, чем их подозреваемые соратники».

Изначальным вектором компрометации, по мнению экспертов «Лаборатории», служат спиэр-фишинговые письма с вложениями в виде вредоносных файлов Microsoft Office. Письма посвящены проблемам Палестины и другим горячим темам, которые с высокой долей вероятности заинтересуют получателей.

Жертвами атак группировки стали организации в Армении, Египте, Иордании, Ливане, Палестине, Сирии, Турции и на Кипре.

Кибергруппировка два года незаметно атаковала Ближний Восток

Как указывается в анализе «Лаборатории», в качестве дропперов используются файлы Excel со скрытыми таблицами и VBA-макросами и файлы Word, также снабженные макросами. Они обеспечивают установку первичного вредоносного импланта — скрипта, написанного на Visual Basic, который собирает системную информацию и запускает на зараженной машине произвольный код, который ему присылают операторы.

Серверы на территории стран бывшего СССР

После запуска имплантов первой стадии производится скачивание и установка следующего импланта, известного как Ferocious. Этот вредонос, включающий набор скриптов VBS и PowerShell, также выполняет роль дроппера. Он использует методику перехвата объектных моделей программных компонентов (CO Mhijacking) для обеспечения себе постоянного присутствия в системе, а затем запускает скрипт PowerShell под названием LitePower.

Этот скрипт устанавливает соединение с контрольными серверами, которые физически располагаются на территории Украины и Эстонии. Некоторые из них функционируют с декабря 2019 г., и это может означать, что кампания длится с этого времени. С этих серверов LitePower может скачивать дополнительные вредоносные компоненты.

«В целом речь идет о неоригинальной, но вполне действенной схеме сохранения присутствия и обеспечения скрытности, — считает Алексей Водясов, технический директор компании SEQ. — Если нововыявленной группировке удалось сохранять свою деятельность в тайне два года, это, по нынешним временам, большой успех».

Роман Георгиев

Короткая ссылка