Совершенно невинный документ
Российские компании подвергаются серийным атакам со стороны злоумышленников, пытающихся внедрить в их сети троян удалённого доступа Amnesia RAT и шифровальщики. Об этом сообщают эксперты подразделения компании Fortinet по цифровой безопасности FortiGuard Labs.
«Атака начинается с рассылки приманок, доставляемых внутри бизнес-документов, которые выглядят как нечто рядовое и невинное. Эти документы и сопутствующие скрипты используются как визуальные средства отвлечения внимания: жертвы переключаются на мнимые задачи и сообщения, в то время как на втором плане происходит вредоносная активность», - пишет Кара Линь (Cara Lin), эксперт FortiGuard.
Как отмечено в материале The Hacker News, нынешняя кампания выделяется на общем фоне сразу по нескольким причинам. Во-первых, разные компоненты вредоноса размещаются в разных открытых сервисах: скрипты - на GitHub, двоичные файлы - в Dropbox. Это затрудняет устранение вредоносных компонентов.
Плюс к этому широко используется утилита defendnot, нейтрализующая Windows Defender (она заставляет штатный антивирус Windows полагать, что в систему установлен другой антивирусный продукт). Эту утилиту разработал некто, известный под никнеймом Кes3n1n, считающийся экспертом по кибербезопасности.
Злоумышленники распространяют сжатые архивы с множеством документов-обманок и вредоносным файлом-ссылкой LNK с двойным расширением («Задание_для_бухгалтера_02отдела.txt.lnk?).
При запуске последнего выполняется команда PowerShell на скачивание с GitHub (github[.]com/Mafin111/MafinREP111) нового скрипта PowerShell, который выполняет роль загрузчика первой очереди и «подготавливает» систему к сокрытию любых признаков вредоносной активности.
В частности, он прячет окно консоли PowerShell и подавляет видимость выполнения кода. Одновременно генерируются новый текстовый документ-обманка, который записывается на диск и автоматически открывается на экране, а также отправляет атакующим сообщение через API Telegram-бота об успешном завершении первой очереди.
Затем, после задержки продолжительностью 444 секунд скрипт PowerShell запускает следующий скрипт - на этот раз, написанный на Visual Basic (SCRRC4ryuk.vbe). Он хранится в том же репозитории, что и предыдущий скрипт. Как пишут исследователи, это позволяет сохранять малые размеры загрузчика, плюс модифицировать в случае чего полезную нагрузку, не меняя цепочку заражения.
Скрипт VBS хорошо замаскирован (обфусцирован). Он выполняет роль контроллдера, который собирает вредоносный компонент следующей стадии целиком в памяти, не оставляя никаких артифактов на диске.
Финальный скрипт цепочки проверяет наличие повышенных привилегий, и если их нет, то выводит пользователю сообщение от службы UAC с предложением такие привилегии выдать. В случае отказа скрипт ждёт 3000 миллисекунд (3 секунды) и повторяет попытку.
Как сломать антивирус
На следующем этапе вредонос предпринимает шаги по нейтрализации видимости, подавлению защитных средств в системе, а также проводит разведку ресурсов и блокирует инструменты для восстановления данных.
В частности, в настройках антивируса Microsoft Defender добавляются новые исключения, так чтобы каталоги Program Data, Program Files, Desktop, Downloads и хранилище временых файлов больше не подлежали сканированию. Затем с помощью PowerShell отключаются дополнительные защитные компоненты Defender.
С помощью defendnot устанавливаетя поддельный антивирус, так что Microsoft Defender отключается полностью.
Разведка окружения проводится через специальный модуль .NET, скачанный с GitHub; каждые 30 секунд он делает скриншоты экрана и отправляет их злоумышленнику в виде файлов PNG.
Затем вредонос модифицирует системный реестр, отключая тем самым ряд административных и диагностических инструментов.
Сверх этого вредонос меняет файловые ассоциации для определённых расширений, так что при попытке открыть их пользователю выводится предложение связаться с атакующим через Telegram.
После того, как защитные инструменты нейтрализованы, в систему загружается Amnesia RAT (в виде файла svchost.scr, скачиваемого с Dropbox).
Этот вредонос обеспечивает злоумышленникам удалённый доступ и контроль над системой, а также позволяет вывести широкий спектр данных - из браузеров, криптокошельков, аккаунтов в Discord, Steam и Telegram, а также системные метаданные, скриншоты, изображения веб-камеры, записи с микрофона, содержимое буфера обмена и название активного окна.
В нагрузку к Amnesia в систему сгружается шифровальщик - дериватив семейства Hakuna Matata, который шифрует документы, архивы, изображения, файлы исходного кода, медиафайлы и активы приложений. Перед этим он останавливает все процессы, которые могут ему в этом помешать.
Вдобавок, шифровальщик модифицирует адреса криптокошельков так, чтобы все транзакции перенаправлялись на кошельки злоумышленников.
Процедура заканчивается установкой и запуском WinLocker, лишающим пользователя возможности взаимодействовать с операционной системой.
«Складывается ощущение, что эти вредоносы предназначены не просто для кражи данных, криптовалют и последующего вымогательства, но и для того, чтобы чтобы сделать атаку максимально демонстративной, - полагает Никита Павлов, эксперт по информационной безопасности компании SEQ. - Обращает на себя внимание и то, как умело операторы вредоноса эксплуатируют слабые места в штатных инструментах Windows. С другой стороны, Microsoft Defender, например, сравнительно легко можно перенастроить таким образом, чтобы исключить несанкционированное воздействие на него. В этом случае атака будет тщетной».
В Microsoft рекомендуют проверить, активна ли функция Tamper Protection («Защита от незаконного изменения») в штатном антивирусе. Эта функция призвана мешать вредоносам подменять настройки антивируса.
Поделиться
