Истина где-то ниже
Декабрь 14, 2018

Операция Sharpshooter: под ударом критически важные объекты

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

Эксперты McAfee выявили глобальную разведывательную кампанию, использующую ранее неизвестный имплант. Авторов целевых атак особенно интересуют предприятия ядерной энергетики и оборонной промышленности, а также финансовые институты.

Первые вредоносные документы, распространяемые через Dropbox в рамках Operation Sharpshooter (операции «Бомбардир», либо «Снайпер»), были обнаружены 25 октября. За полтора месяца новый имплант умудрился попасть в 87 организаций — в основном из США и других англоязычных стран.

Цепочка заражения начинается с открытия документа Microsoft Word, содержащего вредоносный макрос. Этот файл, по словам исследователей, содержит англоязычный текст с перечнем должностных обязанностей сотрудника некой компании, а также множество метаданных на корейском языке. При его запуске активируется шелл-код, который действует как обычный даунлоудер, загружая имплант Rising Sun («Восходящее солнце»). Последний работает только в памяти и представляет собой модульный бэкдор, заточенный под сбор данных. Добытая информация в зашифрованном виде отсылается на сервер злоумышленников, которые производят анализ и решают, что делать дальше.

Пока Rising Sun загружается, с командного сервера скачивается еще один документ OLE — по всем признакам, вполне безобидный. Скорее всего, его основным назначением является маскировка вредоносного контента.

Как оказалось, создатели нового импланта позаимствовали исходный код Duuzer — зловреда, впервые засветившегося 2015 году в целевых атаках Lazarus на территории Южной Кореи. Duuzer ориентирован на 32-битные и 64-битные Windows; на зараженной машине он открывает бэкдор и собирает системные данные. Его преемника Rising Sun тоже интересуют имя компьютера, IP-адрес жертвы, основная информация о системе и подобные данные.

Анализ операции Sharpshooter выявил и другие признаки сходства с атаками APT-группы Lazarus. Тем не менее, исследователи склонны считать, что все эти свидетельства были вброшены умышленно, чтобы пустить аналитиков по ложному следу.

Источник: https://threatpost.ru/sharpshooter-global-critical-assets/29703/