20/12/21
Сеть Комиссии США по религиозной свободе содержала бэкдор, предоставлявший хакерам полную видимость и возможность контролировать сеть. По словам специалистов ИБ-компании Avast, многочисленные попытки проинформировать ведомство о проблеме оказались безуспешными.
Комиссия США по религиозной свободе занимается мониторингом соблюдения религиозной свободы во всем мире и постоянно взаимодействует с прочими американскими ведомствами и неправительственными организациями.
В связи с отсутствием коммуникации с пострадавшим ведомством эксперты не смогли определить точный ущерб от действий злоумышленников. Однако, как показал анализ вредоносных файлов, нападавшие могли перехватить весь трафик организации и похитить информацию, которой Комиссия обменивалась с другими ведомствами, а также контролировать сеть.
Бэкдор работает путем замены обычных файлов Windows oci.dll двумя вредоносными библиотеками. Первая отвечает за внедрение инструмента WinDivert, используемого для перехвата, модификации или отправки сетевых пакетов. Этот файл позволяет атакующим загрузить и запустить вредоносный код на зараженной системе. По мнению специалистов, главная задача этого загрузчика заключается в обходе межсетевых экранов и сетевом мониторинге.
На втором этапе атакующие заменили поддельный загрузчик oci.dll кодом, который дешифрует вредоносный файл под названием SecurityHealthServer.dll и загружает его в память. Функионал этой вредоносной библиотеки почти идентичен вредоносному файлу rcview40u.dll, который использовался в атаках на цепочку поставок в Южной Корее в 2018 году.
Из-за сходства между oci.dll и rcview40u.dll исследователи предположили, что атакующие, вероятно, имели доступ к исходному коду rcview40u.dll.
Бэкдор позволил хакерам выполнять код с правами системы и перехватывать трафик с зараженных устройств. Как считают эксперты, данная атака могла являться первым шагом в многоэтапной кампании, направленной на более глубокое проникновение в сеть Комиссии по религиозной свободе или другие сети в рамках операции APT- группировки. Специалисты Avast не раскрыли, какая именно группировка может быть причастна к инциденту.
