Клон знаменитой игры «Сапёр» используют для атак на финансовые организации США и Великобритании
Исходный код переписанной на языке Python игры «Сапёр» используется как «прикрытие» другого кода. Хакеры используют в основном легитимные инструменты - с нелегитимными целями.
«Сапёр» как маскировка
Хакерская группировка атакует европейские и американские финансовые учреждения, используя троянизированный клон знаменитой игры под Windows «Сапёр» (Minesweeper).
Атаки начинаются с фишингового письма с адреса support@patient-docs-mail.com, имитирующего сообщение от медицинского учреждения. Заголовок гласит, что это архив медицинских документов получателя сообщения.
Жертве предлагается скачать 33-мегабайтный файл SRC (расширение файлов, содержащих исходный код) с Dropbox. Сам файл содержит безвредный код клона игры «Сапёр» на Python, а также вредоносный код (также написанный на Python), который скачивает дополнительные скрипты с удалённого источника (anotepad.com).
Код «Сапёра» служит маскировкой для 28-мегабайтного однострочного кода, зашифрованного по алгоритму base64; это очевидная попытка скрыть вредоносное содержимое от сканирования защитными средствами.
Настоящее содержимое игры
Код игр содержит функцию create_license_ver, которая используется для декодирования и запуска спрятанного вредоноса. Таким образом, отмечает издание Bleeping Computer, легитимные программные компоненты применяются и для маскировки, и для осуществления атаки.
Что характерно, закодированная base64 строка при расшифровке преобразуется в файл ZIP, содержащий инсталлятор (в формате MSI) опять-таки легитимной по своей природе программы SuperOps RMM.
Это инструмент удалённого доступа, формально не являющийся вредоносной программой, но обеспечивающий в данном случае злоумышленникам удалённый доступ в атакованную систему.
«Использование легитимных инструментов в нелегитимных целях - распространённая практика, небезуспешно используемая для обеспечения скрытности», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. По ее словам, чаще всего атаки с использованием LOTL-инструментов, то есть легитимных программ и утилит, оказываются успешными и обнаруживаются пост-фактум. «По-видимому, маскировка «Сапёром» тоже срабатывала, хотя различие между заголовком фишингового письма и содержанием прилагаемого архива уже должно было бы вызывать озабоченность у получателей», - заключила Анастасия Мельникова.
Кто это сделал
К настоящему времени упоминаются «как минимум пять» организаций в Европе и США, ставших жертвами этой фишинговой кампании.
Её авторами в ИБ-прессе называют «хактивистскую» группу из России под названием FromRussiaWithLove, прежде замеченную в использовании инфостилера Vidar и шифровальщика Somnia. Вторым они, впрочем, пользуются больше для безвозвратного удаления данных, нежели вымогательства и финансовой выгоды.
Организациям, не использующим SuperOps RMM централизованно, рекомендуется рассматривать присутствие этой программы в своих системах как индикатор компрометации.