Киберпреступники XXI века не всегда веселые, но все более находчивые ребята. Например, неизвестная группировка хакеров собрала себе настоящего Вольтрона, пакет кибероружия из довольно безобидных по отдельности компонентов открытого ПО (большей частью с GitHub).
Эксперты отмечают, что безымянная киберпреступная группировка стоит за серией таргетированных атак в январе-апреле 2019 года. Исследователи из Cisco Talos назвали вредоносную кампанию Frankenstein, в память о собранном из кусочков известном чудовище, поскольку группировка умело собирает воедино не связанные между собой компоненты и в ходе операции использовала четыре разных техники.
По сообщению специалистов, в ходе вредоносных операций киберпреступники использовали следующие компоненты с открытым исходным кодом:
• Элемент article для определения, запущен ли образец на виртуальной машине;
• GitHub-проект, использующий MSbuild , для выполнения команд PowerShell;
• Компонент GitHub-проекта под названием Fruityc2 для создания стейджера;
• GitHub-проект под названием PowerShell Empire для агентов.
Другие необычные телодвижения, отмеченные у хакеров экспертами Cisco Talos:для обхода обнаружения киберпреступники проверяют, запущены ли на атакуемой системе программы наподобие Process Explorer, а также не является ли зараженный компьютер виртуальной машиной (уже практически стандарт для вредоносного ПО в наши дни). Помимо этого, группировка предприняла ряд дополнительных шагов для того, чтобы отвечать только на GET-запросы, содержащие предопределенные поля, такие как cookie-файлы сеанса, определенная директория домена и пр. Передаваемые данные защищены шифрованием (!).
Заражение системы происходит по двум векторам, и тут все довольно традиционно. Первый способ предполагает использование вредоносного документа Word для загрузки удаленного шаблона, эксплуатирующего уязвимость повреждения памяти в Microsoft Office (CVE-2017-11882) для выполнения кода.
Второй вектор атаки, чуть более сложный для выполнения, также предполагает использование вредоносного документа Word. Когда жертва открывает документ, от нее требуется активировать макросы, после чего запускается скрипт Visual Basic. Этот скрипт сканирует систему на наличие инструментов для анализа вредоносного ПО и в случае обнаружения признаков виртуальной машины прекращает работу вредоноса.
АКБ напоминает, что ранее в 2019 году GitHub, как минимум, дважды становился (по другим причинам) рассадником киберзаразы:
– В марте стало известно, что 89 аккаунтов на GitHub распространяли более 300 приложений с бэкдорами — взломанных игр, утилит и отдельных библиотек, каждая из которых позволяла доставлять на инфицированный компьютер полезную нагрузку. В репозиториях эксперты обнаружили вредоносные варианты мультимедиа-редактора FFmpeg, компилятора MinGW и других приложений. По мнению специалистов, преступники устанавливали на зараженные компьютеры клиентскую часть Supreme NYC Blaze Bot — специализированного ботнета для участия в онлайн-аукционах по продаже лимитированных версий кроссовок.
– В феврале неизвестные взломали учетную запись разработчиков криптовалюты Denarius на GitHub и внедрили в Windows-клиент проекта инфостилер AZORult. Проблема — использование разработчиком одного и того же пароля на разных сервисах. АКБ напоминает, что ранее cпециалисты Minerva Labs обнаружили любопытную версию AZORult. Вирус маскируется под службу обновления сервисов Google и подписан действительным сертификатом. Программа заменяет легитимное приложение, запускается с правами администратора и остается в системе после перезагрузки устройства. До этого «Доктор Веб» обнаружил троян AZORult в программе для отслеживания изменения курсов криптовалют. Программа «скачивает, компилирует и исполняет исходный код, загруженный с личного аккаунта разработчика на Github», затем загружает AZORult. Вирус ворует личные данные, в том числе пароли от кошельков криптовалют. При этом актуальные курсы криптовалют действительно отображает. Широкому распространению AZORult, по мнению экспертов, способствует наличие в дарквебе бесплатного сервиса по сборке исполняемых файлов зловреда для всех желающих.
