30/08/19
Исследователи из Cisco Talos обнаружили ряд вредоносных кампаний, нацеленных на государственные и финансовые организации по всему миру. В рамках атак киберпреступники использовали инструменты Revenge и Orcus. По словам исследователей, все кампании связаны между собой несколькими уникальными тактиками, методами и процедурами, включая обфускацию C&C-инфраструктуры, уклонение от анализа и методы обеспечения персистентности с помощью бесфайловых вредоносов.
Revenge — общедоступный инструмент для удаленного доступа (RAT), опубликованный в 2016 году на форуме Dev Point. Он способен открывать удаленные оболочки, позволяя злоумышленнику управлять системными файлами, процессами, реестром и сервисами, определять нажатия клавиш и сбрасывать пароли жертвы, а также получать доступ к web-камере.
Orcus представляет собой инструмент удаленного администрирования, но также обладает возможностями трояна удаленного доступа и может загружать пользовательские плагины.
Оператор кампаний использует динамическую систему доменных имен (DDNS), указывающую на сервис Portmap для сокрытия C&C-инфраструктуры. Сервис позволяет подключаться к системам, защищенным межсетевыми экранами или к которым нельзя напрямую получить доступ из Интернета через сопоставление портов.
Используемые в атаках образцы Revenge и Orcus являются модифицированными версиями ранее утекших в сеть вариантов. Злоумышленники внесли только небольшие изменения в код, достаточные для того, чтобы обмануть антивирусы.
Вредоносы распространялись через фишинговые письма, злоумышленники доставляли их с помощью двух методов. Первый предусматривал использоваение службы доставки электронной почты SendGrid для перенаправления жертв на вредоносные серверы. Второй метод предполагал распространение вредоноса через вредоносное вложение. Для заражения систем использовалось два варианта загрузчика. Первый представлял собой исполняемый файл в формате PE32, а другой — файл в формате .bat.
Первый загрузчик был замаскирован под файл PDF. Он загружал RAT из своего раздела ресурсов и внедрял PE-файл в свою дополнительную копию, таким образом выполняя его в памяти и избегая записи на диск скомпрометированной машины. Загрузчик в формате .bat загружал на компьютер жертвы js-скрипт, добавляющий запись реестра, предназначенную для загрузки Revenge с помощью скрипта PowerShell.
