Меню
Поиск

Тщательно подготовленная фишинговая схема преследует пока неясные цели

5 май, 2021 - 12:05

Тщательно подготовленная фишинговая схема преследует пока неясные цели

Команда кибербезопасности Mandiant, фирмы FireEye, сообщила вчера, что фишинговая кампания, прокатившаяся в декабре двумя волнами по финансовым, коммуникационным, медицинским и прочим организациям во всём мире, базировалась на трёх абсолютно новых штаммах вредоносных программ, получивших названия Doubledrag, Doubledrop и Doubleback.

Создавшая это ПО преступная группа UNC2529, по их словам, «не испытывала недостатка ни в опыте, ни в ресурсах».

Всего в глобальной схеме фишинга было задействовано более 50 доменов. В ходе успешной атаки второй волны (11-18 декабря 2020 г.) UNC2529 взломала домен, принадлежащий американской компании по оказанию услуг отопления и охлаждения, изменила его записи DNS и использовал эту структуру для запуска фишинговых атак на не менее 22 других организаций.

Электронные письма-приманки содержали ссылки на URL-адреса, ведущие к файлам .PDF вместе с файлом JavaScript в Zip-архиве. Сами документы, взятые из общедоступных источников, были нарочно испорчены, чтобы побудить жертвы в попытке их открыть дважды щелкнуть на файл .js, где находился замаскированный загрузчик Doubledrag. В некоторые письма был вложен файл Excel с макросом, несущим ту же вредоносную нагрузку.

Запущенный Doubledrag пытался загрузить так называемый дроппер, Doubledrop, — обфусцированный сценарий PowerShell, служащий для загрузки на заражённую машину бэкдора, Doubleback.

Финальный элемент трёхкомпонентный вредоносной схемы, Doubleback, был создан сразу в двух вариантах: 32- и 64-разрядном. Получив контроль, он загружал свои плагины, а затем входил в контакт с командно-управляющим (C2) сервером.

Как отмечает Mandiant, интересным моментом является то, что в файловой системе присутствует один загрузчик. Остальные компоненты сериализованы в базе данных реестра, что затрудняет их обнаружение, в особенности антивирусными движками, ориентированными на поиск файлов.

Эксперты, продолжающие изучать новое вредоносное ПО, утверждают, что оно продолжает совершенствоваться. На это, в частности, указывает встроенная функция сканирования наличия в системе антивирусных продуктов, типа Kaspersky и BitDefender — они обнаруживаются, но никаких дальнейших действий не предпринимается.

Mandiant пока не располагает сведениями о намерениях инициаторов этой фишинговой кампании, отмечая, впрочем, что «широкий охват разных отраслей и географических регионов согласуется с расчётом таргетинга, наиболее часто встречающимся среди финансово мотивированных групп».