Поделиться
Хакеры атаковали создателей американского самолета-невидимки F-35. Русские и китайские ОС в безопасности
Хакеры развернули кампанию против подрядчиков армии США. Вредоносная программа пытается уничтожить зараженную систему, если возникают подозрения, что это тестовый стенд — виртуальный или физический. Кто стоит за кампанией неизвестно.
Позывной «Мэверик»
Эксперты компании Securonix обнаружили сложную киберкаманию против нескольких подрядчиков военных США — поставщиков систем вооружений. В числе пострадавших производитель компонентов для передовых истребителей-невидимок класса Stealth — F-35 Lightning II. Кампания получила название STEEP#MAVERICK.
Атаки характеризуются узкой направленностью. Начальной точкой оказываются фишинговые письма, которые рассылаются прицельно работникам интересующих предприятий. За этим следует многоэтапное заражение. Ключевой вредонос (который не получил отдельного названия) включает модули, обеспечивающие устойчивое присутствие в системе, а также активно препятствующие его обнаружению и попыткам анализа.
Эксперты особенно выделили защищенность управляющей инфраструктуры и множественные слои обфускации, которыми защищены PowerShell-компоненты, используемые в промежуточных стадиях заражения.
Фишинговые письма включают ZIP-вложение с файлом-ссылкой внутри — «Company & Benefits.pdf.lnk», которое, при запуске, соединяется с контрольным сервером и запускает последовательность скриптов PowerShell, обеспечивающих итоговое заражение.
Что характерно, файл-ссылка не запускает ни утилиту cmd.exe, ни powershell.exe, используя вместо них нетипичный файл C:\Windows\System32\ForFiles.exe.
Далее запускается семиэтапная последовательность выполнения команд PowerShell, причем каждый скрипт защищен мощной обфускацией с использованием разных методов, таких как переставление разных символов, IEX-обфускация, обфускация значениями байтов и нескольких других.
Кроме того, скрипт сканирует список процессов, связанных с процедурами отладки и мониторинговым ПО, проверяет, превосходит ли разрешение экрана 777 пикселей по вертикали, а объем памяти — 4 ГБ, а также стремится удостовериться, что ОС была установлена более, чем три дня назад. Все это может быть признаками тестового стенда для изучения и анализа вредоносного ПО, обычно осуществляемого в виртуальных средах.
Если целевая система не проходит проверку хотя бы по одному пункту, вредонос отключает сетевые адаптеры, переключает файерволл в режим блокировки всего траффика, уничтожает все данные на любых доступных накопителях и отключает машину.
Впрочем, если язык системы русский или китайский, то вредонос просто удаляет сам себя, не нанося никакого вреда.
Если же проверка оказывается пройденной, то в системе отключается журнал блокировки скриптов PowerShell, а в настройки WindowsDefender исключения для файлов .lnk, .rar. и .exe, а также для целых каталогов, которые играют ключевую роль в функционировании вредоноса.
Исследователи не могут однозначно определить происхождение кампании, но отмечают некоторое сходство действий группировки с активностью APT37 (Konni) — одной из северокорейских кибершпионских объединений.
Устойчивое заражение
Устойчивость присутствия также достигается несколькими методами, в том числе через добавление новых ключей в системном реестре, встраиванием скрипта в задачу с заданным сроком выполнения и подпиской на извещения о событиях WMI.
По окончании работы скриптов PowerShell в систему с контрольного сервера загружается финальный вредонос (header.png), зашифрованный с помощью AES.
Попытки проанализировать этот файл выдавали в качестве результата только «мусорные данные». В Securonix заявили, что, возможно, кампания была уже завершена, а располагавшийся на контрольном сервере файл был подменен на что-то, лишенное значимого содержания.
Контрольные серверы кампании были зарегистрированы в июле 2022 г. В качестве хостера обозначен DigitalOcean. Позднее серверы были перенесены в инфраструктуру Cloudflare, чтобы обеспечить себе защиту CDN и других предлагаемых хостером средств безопасности — маскировки IP-адресов, геоблокирование и шифрование HTTPS/TLS.
Некоторые домены, упоминающиеся в отчете Securonix, включают такие наименования, как terma[.]wiki, terma[.]ink, terma[.]dev, terma[.]app, и cobham-satcom.onrender[.]com.
По мнению Securonix, нынешняя кампания, завершившаяся или нет, свидетельствует о том, что за ней стоит очень продвинутый оператор, прекрасно знающий, как можно добиться максимальной скрытности.
Тем не менее, вредонос все-таки оставляет следы, по которым можно вычислить его присутствие. Они перечислены в исследовании Securonix.
«Агрессивная и даже деструктивная реакция вредоноса на присутствие средств анализа и отладки ПО — это что-то очень редко наблюдаемое, — говорит Алексей Водясов, технический директор компании SEQ. — В принципе, анализ ПО обычно производится в виртуальных средах, соответственно, нанести там реальный ущерб будет сложно. Под угрозой оказываются машины, на которых действительно совсем недавно установили, например, ОС. Что касается неприкосновенности русскоязычных и китайскоязычных систем — это вполне может быть “операция с ложным флагом”, а не указание на происхождение вредоноса».
Поделиться
Короткая ссылка
