Операция Sharpshooter: под ударом критически важные объекты

Эксперты McAfee выявили глобальную разведывательную кампанию, использующую ранее неизвестный имплант. Авторов целевых атак особенно интересуют предприятия ядерной энергетики и оборонной промышленности, а также финансовые институты.

Первые вредоносные документы, распространяемые через Dropbox в рамках Operation Sharpshooter (операции «Бомбардир», либо «Снайпер»), были обнаружены 25 октября. За полтора месяца новый имплант умудрился попасть в 87 организаций — в основном из США и других англоязычных стран.

Цепочка заражения начинается с открытия документа Microsoft Word, содержащего вредоносный макрос. Этот файл, по словам исследователей, содержит англоязычный текст с перечнем должностных обязанностей сотрудника некой компании, а также множество метаданных на корейском языке. При его запуске активируется шелл-код, который действует как обычный даунлоудер, загружая имплант Rising Sun («Восходящее солнце»). Последний работает только в памяти и представляет собой модульный бэкдор, заточенный под сбор данных. Добытая информация в зашифрованном виде отсылается на сервер злоумышленников, которые производят анализ и решают, что делать дальше.

Пока Rising Sun загружается, с командного сервера скачивается еще один документ OLE — по всем признакам, вполне безобидный. Скорее всего, его основным назначением является маскировка вредоносного контента.

Как оказалось, создатели нового импланта позаимствовали исходный код Duuzer — зловреда, впервые засветившегося 2015 году в целевых атаках Lazarus на территории Южной Кореи. Duuzer ориентирован на 32-битные и 64-битные Windows; на зараженной машине он открывает бэкдор и собирает системные данные. Его преемника Rising Sun тоже интересуют имя компьютера, IP-адрес жертвы, основная информация о системе и подобные данные.

Анализ операции Sharpshooter выявил и другие признаки сходства с атаками APT-группы Lazarus. Тем не менее, исследователи склонны считать, что все эти свидетельства были вброшены умышленно, чтобы пустить аналитиков по ложному следу.

Источник: //threatpost.ru/sharpshooter-global-critical-assets/29703/

Оставить комментарий

Оставить коментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *