21 Июля, 2018

Воровство паролей, подслушивание вредоносных программ нацелено на правительство Украины

Владимир Безмалый

Vermin RAT настраивается на заказ, получает обновления и является частью кампании, ориентированной на большое количество людей.

Кампания кибер-шпионажа нацелена на правительство Украины с помощью специально созданного вредоносного ПО, которое создает бэкдор в системы для кражи данных — включая учетные данные и аудиозапись окружения.

Троян удаленного доступа называется Vermin и поставляется вместе с двумя другими штаммами вредоносного ПО — Sobaken RAT и Quasar RAT, последним из которых является свободно распространяемая форма вредоносного ПО, доступная онлайн.

Три вида вредоносного ПО были найдены на сотнях разных жертв в Украине, но, похоже, что они обмениваются инфраструктурой и подключаются к одним и тем же серверам управления и контроля. Кампания была подробно описана исследователями компании ESET , которые говорят, что она работает с по крайней мере с октября 2015 года.

Vermin является наиболее мощным из трех форм вредоносного ПО и, похоже, получил обновления от своих авторов.

Помимо выполнения обычных задач, связанных с троянами, таких как мониторинг того, что происходит на экране, загрузка дополнительных полезных нагрузок и загрузка файлов, он также содержит набор дополнительных команд с целью полной компрометации машины жертвы.

Он включает в себя возможность делать записи звука рядом с компьютером жертвы, похититель паролей, используемый для извлечения паролей из браузеров Opera и Chrome, и кейлогер.

Vermin — впервые идентифицирован Palo Alto Networks в январе и с момента обновления также имеет возможность хищения файлов с USB-накопителя. Вредоносная программа контролирует диск и ворует файлы, соответствующие выбранному фильтру.

Исследователи ESET отмечают, что этот USB-похититель все чаще используется в качестве автономного инструмента с апреля. Он копирует соответствующие файлы и сразу же загружает их на сервер управления и контроля злоумышленников.

В дополнение к Vermin, атакующие также используют трояны Quasar и Sobaken. Quasar — это открытая форма вредоносного ПО, оснащенная набором бэкдор-команд для наблюдения и кражи из зараженной системы. В результате он использовался многими атакующими для целей, от шпионажа до киберпреступности.

Sobaken — это модифицированная версия Quasar, которая удалила несколько возможностей. Однако, поскольку это означает, что он упакован в меньший исполняемый файл, его легче скрыть. Sobaken также оснащен техникой против песочницы и уклонения, чтобы помочь уменьшить шансы на открытие.

Возможное объяснение использования трех параллельных вредоносных программ — это то, что каждый штамм разрабатывается независимо. Другой вариант заключается в том, что несколько различных штаммов вредоносных программ были опробованы в надежде, что один из них проскочит через защиту.

Как и многие вредоносные кампании, исходная точка компрометации связана с фишинговым электронным письмом, снабженным вложением Microsoft Office. Приманки варьировались в зависимости от того, какой конкретный правительственный департамент Украины был целью. Примеры предметов включали те, которые относятся к транспорту и обороне.

В некоторых случаях атака использует CVE-2017-0199, уязвимость удаленного выполнения кода, которая была исправлена в апреле 2017 года , что указывает на то, что некоторые цели по-прежнему не установили соответствующие обновления, несмотря на то, что они вышли более чем год назад.

Как только вредоносный файл будет удален в целевой системе, он будет выполняться каждые 10 минут, чтобы обеспечить постоянное присутствие на зараженной машине.

Вредоносная программа завершится, если раскладка клавиатуры жертвы не является русской или украинской. Выполнение также прекратится, если IP-адрес устройства не находится на Украине или в России, что указывает на то, что это высоко локализованная вирусная кампания.