30/09/22
Совсем недавно аналитики Securonix обнаружили ряд атак, направленных на нескольких военных подрядчиков, включая поставщика деталей для истребителя F-35 Lightning II. Пока ИБ-специалистам не удалось выяснить кто стоит за киберинцидентами, ведь из зацепок было найдено только небольшое сходство с атаками APT37.
Однако, восстановить сценарий атаки все же удалось. Как пишет Securitylab, все начинается с фишингового письма с ZIP-архивом. Распаковав архив, жертва находит LNK-файл под названием "Company & Benefits.pdf.lnk", который выступает в роли дроппера, выполняющего несколько функций:
- Подключение к C&C-серверу злоумышленников;
- Запуск PowerShell-скриптов, заражающих систему жертвы вредоносным ПОю
Интересно, что LNK-файл использует не "cmd.exe" или "powershell.exe" для запуска скриптов, а необычную команду "C:\Windows\System32\ForFiles.exe".
Разобравшись со сценарием атаки, специалисты принялись распутывать цепочку выполнения PowerShell-скрипта, состоящую из семи ступеней, каждая из которых сильно обфусцирована. Кроме того, скрипт проверяет список процессов, связанных с программами отладки и мониторинга, обходит песочницу (проверяет, чтобы высота экрана была не менее 777 пикселей, а объем ОЗУ превышал 4 ГБ) и отслеживает дату установки системы (она должна быть установлена на устройстве более трех дней).
Если какая-либо из этих проверок проваливается, скрипт отключает сетевые адаптеры системы, настраивает брандмауэр Windows на блокирование всего трафика, удаляет все данные со всех обнаруженных дисков, а затем выключает компьютер.
Однако, вредонос может выйти из системы не причинив никакого вреда, если язык системы установлен на русский или китайский.
Если все проверки пройдены, скрипт отключает журнал событий PowerShell в Windows и добавляет исключения Windows Defender для файлов ".lnk", ".rar" и ".exe", а также для директорий, необходимых для работы вредоносной программы.
Чтобы закрепиться в системе, вредонос добавляет новые ключи реестра, встраивает свой код в запланированные задания и добавляет себя в автозапуск.
Как только PowerShell-скрипт выполнит всю свою работу, с C&C-сервера загружается конечная полезная нагрузка – файл “header.png”. Эксперты хотели проанализировать этот файл, но не смогли его декодировать. По их мнению, он был заменен после завершения кампании, чтобы предотвратить дальнейший анализ.
Если вам интересно узнать больше технических подробностей, то загляните на сайт Securonix и прочтите предоставленный компанией отчет.
