Не червь, а просто пушка: новый троян Cannon соблазняет разбившимся «Боингом»

Опубликовано at 14:12
559 0

Исследовательская группа Unit 42 компании Palo Alto Networks рассказала о новом любопытном троянце, передающем хакерам ключи от удаленного доступа к компьютеру пользователя. Зловред получил название Cannon, в своих атаках его использовала известная русскоязычная APT-группировка Sofacy.

Отмечается, что чтобы избежать обнаружения и автоматического анализа в песочнице, преступники прибегли к нераспространенному способу общения зловреда с командным сервером и выполнения команд. По словам экспертов, киберпреступники распространяли троян с помощью фишинговой рассылки. с документами Microsoft Word. При этом в качестве темы спам-кампании злоумышленники использовали крушение Boeing 737 MAX 8 авиакомпании Lion Air возле Джакарты (в этой авиакатастрофе 29 октября 2018 года погибли 189 человек).

Некоторые из прикрепленных файлов назывались crash list (Lion Air Boeing 737) .docx, то есть, файл, маскировавшийся под перечень пассажиров, летевших на рухнувшем самолете. По словам экспертов, это первый случай, когда кибергруппировка использует в качестве приманки для распространения вируса катастрофу.

При попытке открыть этот документ, Microsoft Word сразу же пытается загрузить с удаленного сервера шаблон, содержащий вредоносный макрос и полезную нагрузку — троян Cannon. Если сервер на связи, то запускается макрос с функцией AutoClose, при которой выполнение вредоносного кода откладывалось до закрытия файла. Таким образом, если песочница завершает сеанс сканирования, когда документ открыт, подозрительная активность зловреда оставается незамеченной, и он может действовать дальше.

Первичная задача Cannon – передать своим хозяевам информацию о системе и скриншот рабочего стола, а также доставить полезной нагрузки через ответный email. По снимку экрана злоумышленники определяли, входит ли жертва в их список целей. В отличие от многих других троянов, общение с командным сервером происходило не через HTTP- или HTTPS-соединение, а по протоколам SMTPS и POP3S. Таким образом, в качестве удаленного центра управления выступали адреса легитимного email-сервиса. В случае Cannon — чешского провайдера Seznam.

Cannon также выполняет команды на основе обработчиков событий и таймеров, что значительно усложняет его обнаружение.

Авторы трояна, группировка Sofacy, также известные как Fancy Bear, APT28, Pawn storm, Sednit и Strontium, действует с 2004 года и атакует в основном государственные, военные и информационные организации по всему миру. Американские специалисты по кибербезопасности традиционно связывают группу с российскими спецслужбами.

Читайте также другие материалы АКБ о хитрых троянцах:

Троян Emotet поздравил 27000 человек с Днем Благодарения – и подарил им банкер IcedID

Крыса-троян FlawedAmmyy впервые прополз в топ-10 киберугроз

От кенгуру до Уолл-стрит: Головокружительная карьера троянца DanaBot

Подписываемся, следим @CyberAgency

Related Post

Сенаторы задумались о создании детской киберполиции

Опубликовано - 31.03.2017 0
Для борьбы с киберпреступлениями против детей необходимо создать специальную межведомственную группу, в которую должны войти медицинские специалисты, представители правоохранительных органов…

И снова след наших хакеров

Опубликовано - 23.10.2017 0
И снова русский след. Department of Homeland Security и FBI порадовали новым отчетом. Правительство США издало предупреждение, что хакерские угрозы…

Депутат ГД выпустит из тюрьмы киберпреступников

Опубликовано - 01.02.2018 0
Депутат Госдумы Ирина Гусева направила Вячеславу Володину на рассмотрение законопроект, который позволит хакерам избежать тюремного заключения. Наказанием для киберпреступников в…

Уязвимость в ThreadX угрожает стабильной работе миллиардов электронных устройств

Опубликовано - 21.01.2019 0
Исследователи кибербезопасности из компании Embedi обнаружили уязвимость, эксплуатация которой теоретически может коснуться каждого на Земле. Дыра находится в микропрограмме популярного…

Добавить комментарий