Исследовательская группа Unit 42 компании Palo Alto Networks рассказала о новом любопытном троянце, передающем хакерам ключи от удаленного доступа к компьютеру пользователя. Зловред получил название Cannon, в своих атаках его использовала известная русскоязычная APT-группировка Sofacy.
Отмечается, что чтобы избежать обнаружения и автоматического анализа в песочнице, преступники прибегли к нераспространенному способу общения зловреда с командным сервером и выполнения команд. По словам экспертов, киберпреступники распространяли троян с помощью фишинговой рассылки. с документами Microsoft Word. При этом в качестве темы спам-кампании злоумышленники использовали крушение Boeing 737 MAX 8 авиакомпании Lion Air возле Джакарты (в этой авиакатастрофе 29 октября 2018 года погибли 189 человек).
Некоторые из прикрепленных файлов назывались crash list (Lion Air Boeing 737) .docx, то есть, файл, маскировавшийся под перечень пассажиров, летевших на рухнувшем самолете. По словам экспертов, это первый случай, когда кибергруппировка использует в качестве приманки для распространения вируса катастрофу.
При попытке открыть этот документ, Microsoft Word сразу же пытается загрузить с удаленного сервера шаблон, содержащий вредоносный макрос и полезную нагрузку — троян Cannon. Если сервер на связи, то запускается макрос с функцией AutoClose, при которой выполнение вредоносного кода откладывалось до закрытия файла. Таким образом, если песочница завершает сеанс сканирования, когда документ открыт, подозрительная активность зловреда оставается незамеченной, и он может действовать дальше.
Первичная задача Cannon – передать своим хозяевам информацию о системе и скриншот рабочего стола, а также доставить полезной нагрузки через ответный email. По снимку экрана злоумышленники определяли, входит ли жертва в их список целей. В отличие от многих других троянов, общение с командным сервером происходило не через HTTP- или HTTPS-соединение, а по протоколам SMTPS и POP3S. Таким образом, в качестве удаленного центра управления выступали адреса легитимного email-сервиса. В случае Cannon — чешского провайдера Seznam.
Cannon также выполняет команды на основе обработчиков событий и таймеров, что значительно усложняет его обнаружение.
Авторы трояна, группировка Sofacy, также известные как Fancy Bear, APT28, Pawn storm, Sednit и Strontium, действует с 2004 года и атакует в основном государственные, военные и информационные организации по всему миру. Американские специалисты по кибербезопасности традиционно связывают группу с российскими спецслужбами.
Читайте также другие материалы АКБ о хитрых троянцах:
Троян Emotet поздравил 27000 человек с Днем Благодарения – и подарил им банкер IcedID
Крыса-троян FlawedAmmyy впервые прополз в топ-10 киберугроз
От кенгуру до Уолл-стрит: Головокружительная карьера троянца DanaBot
