08/10/20
Неизвестная хакерская группировка внедряет вредоносный код в легитимную Службу регистрации ошибок Windows (Windows Error Reporting, WER) для обхода обнаружения в рамках бесфайловых кибератак.
Использование WER в вредоносных операциях не является чем-то новым. По словам экспертов, для хостинга полезной нагрузки злоумышленники скомпрометировали некий сайт и с помощью фреймворка CactusTorch осуществили бесфайловую кибератаку на неназванную жертву.
Атака была обнаружена 17 сентября нынешнего года, когда исследователи выявили фишинговые письма с вредоносным документом в ZIP-архиве, замаскированные под требование компенсации работнику. После открытия документа выполнялся shell-код с помощью вредоносного макроса CactusTorch VBA, загружающего полезную нагрузку .NET непосредственно в память атакуемого Windows-устройства.
Далее вредоносное ПО выполнялось из памяти компьютера, не оставляя никаких следов на жестком диске, и внедряло shell-код в WerFault.exe – процесс службы WER. Затем новый поток WER, в который был внедрен вредоносный код, проходил несколько антианалитических проверок, чтобы узнать, отлаживается ли он, работает ли на виртуальной машине или в песочнице. Другими словами, вредонос убеждался, что его не изучают ИБ-эксперты.
Если все проверки были успешно пройдены, вредоносное ПО переходило к следующему шагу – расшифровало и загружало в новом потоке WER финальный shell-код, который затем выполнялся в новом потоке. Далее зашружалась и вводилась в новый процесс финальная полезная нагрузка, хранящаяся на сайте asia-kotoba [.] в виде поддельного фавикона.
Хотя исследователи затрудняются с уверенностью сказать, кто стоит за новыми атаками, индикаторы компрометации указывают на вьетнамскую кибершпионскую группировку APT32 (другие названия OceanLotus и SeaLotus).
