21/02/20
Конечной целью злоумышленников была, по-видимому, установка в их локальные сети инструмента для удаленного администрирования.
Кампания, которую обнаружили эксперты Malware Hunter Team, проводилась весьма осмысленно: злоумышленники использовали нетипичный формат вложений в фишинговые письма; каждое послание и каждое вложение было адаптировано под целевую организацию. Письма имитировали деловую переписку — каждое послание якобы исходило от клиента или подрядчика компании, и в них даже содержались предложения перезвонить, если потребуется.
Рассылка, впрочем, производилась с адресов в бесплатном сервисе Hotmail, что уже могло бы вызывать подозрения.
К настоящему времени атаки были также направлены на компании A2B Austarlia Limited, Asarco LLC, Aus Net Services, Bega Cheese, Boc GroupI nc, Glad Products Company, Hydratight, Messer LLC, Mutual Bank, Pact Group и Sappi North America. На самом деле, атаке могли подвергнуться и многие другие структуры.
Информации о том, были ли случаи успешной компрометации, нет.
Нетипичный формат
Что касается формата вложения, то здесь все оказалось довольно своеобразно. К каждому фишинговому посланию прилагался файл с расширением .SLK. Это Symbolic Link, формат файлов для обмена данными между таблицами Microsoft Excel. Иконка, обозначающая эти файлы, сильно напоминает иконку Excel. Этот формат файлов, можно использовать и для встраивания активного содержимого в таблицы, и запуска команд EEXEC в Excel. На данную функциональность, собственно, злоумышленники и рассчитывали.
При открытии вложения пользователю предлагается разрешить редактирование (Enable Editing) и включить содержимое (Enable Content). То есть, по сути, снять всякую защиту от потенциально вредоносных макросов и активных модулей.
Если пользователь нажимает Enable Content, SLK-файл из вложения срабатывает и запускает команды EEXEC, создавая на жестком диске (в папке временных файлов) batch-файл и запуская его.
Этот файл, в свою очередь, пытается скачать с удаленного сервера и запустить локально файл .MSI (установщик приложений для Windows). Сервер, на котором лежал этот файл, уже не функционирует. По данным Malware Hunter Team, это было приложение Net Support Manager — вполне легитимный кроссплатформенный инструмент удаленного администрирования, который едва ли будет распознаваться антивирусами и другими защитными средствами.
По идее такой инструмент обеспечивает злоумышленникам режим наибольшего благоприятствования в чужих сетях, вплоть до полной компрометации любых ресурсов и любой содержащейся в них информации.
