22/05/19
Неизвестные злоумышленники распространяют троянец RevengeRAT, используя инфраструктуру таких легитимных ресурсов как инструмент для сокращения ссылок Bit.ly, блог-платформу BlogSpot и веб-приложение для просмотра кода Pastebin.
Эксперты Palo Alto Networks выявили вредоносную кампанию, получившую название Aggah. Она направлена на организации самого широкого спектра — от технологических компаний до гостиничных сетей и правительственных структур. Основным инструментом Aggah является троянец для получения удаленного доступа, известный как минимум с 2016 г. — впервые он был замечен на хакерском форуме DevPoint.
RevengeRAT способен открывать удаленные оболочки на зараженной машине, так что злоумышленник получает возможность управлять системными файлами, процессами и службами, редактировать реестр Windows, отслеживать IP-адрес жертвы, редактировать файл hosts, записывать нажатия клавиш, выгружать пользовательские пароли и получать доступ к веб-камере. Иными словами, машина оказывается почти под полным контролем злоумышленника, и все данные, проходящие через нее, тоже.
Заражение RevengeRAT производится в несколько этапов. Первым делом жертве присылается фишинговое письмо с документом Word и привлекающим внимание заголовком, в частности, «Ваш счет заблокирован». При первом открытии выводится экран с предложением открыть документ в десктопной версии MicrosoftOfficeWord, разрешить редактирование и активировать его содержимое — все это под предлогом того, что документ создан в более старой версии Word.
Если жертва попадается на этот довольно банальный трюк, к оригинальному документу с удаленного ресурса докачивается OLE-файл, содержащий встроенный документ Excel с вредоносными макросами. Интеграция этого документа в оригинальный производится посредством инъекции шаблона.
Вредоносный документ Excel обращается к замаскированным bit.ly ресурсам в блог-платформе BlogSpot (Blogger) для получения скрипта JavaScript, который после попадания на машину пытается нейтрализовать WindowsDefender (уничтожая файл с сигнатурами и убивая его процесс вместе с процессами нескольких других приложений Office). Потом скрипт делает макросы в локальных инсталляциях Word, PowerPoint и Excel активными по умолчанию. Затем скрипт скачивает новые вредоносные компоненты с Pastebin, а также создает запускаемую по расписанию задачу и ключ в реестре Windows для последующего скачивания и запуска скрипта с URLPastebin.
В итоге с Pastebin и закачивается код троянца RevengeRAT, настроенный на использование домена lulla.duckdns[.]org в качестве контрольного сервера.
Вредоносная кампания началась в конце марта 2019 г. с рассылки по нескольким организациям в отдельно взятой ближневосточной стране письма, якобы исходившего от крупного финансового учреждения.
Спустя четыре дня то же самое письмо было направлено финансовой организации в другой ближневосточной стране. Затем выяснилось, что аналогичные рассылки производились уже и в других азиатских странах, а также в Европе и США.
Всего исследователи насчитали более 1,9 тыс. кликов по вредоносной ссылке Bit.ly, исходящих с адресов в 20 разных странах. Между тем, весь список индикаторов компрометации Aggah содержит 33 разные ссылки bit.ly, и эксперты сомневаются, что этот список полный.
Исследователям также удалось найти ряд других контрольных серверов и вариаций RevengeRAT, связанных с этой кампанией, так что ее размах может быть очень велик.
Эксперты подозревают, что за ней стоит группировка GorgonGroup/Subaat, однако неоспоримых доказательств этому пока найти не удалось.
