Сайт Ammyy Admin снова скомпрометирован

    Предупреждаем пользователей, скачивавших 13-14 июня с официального сайта программу для удаленного доступа Ammyy Admin. Сайт был скомпрометирован, в этом временном интервале с него раздавалась троянизированная версия программы. Еще один нюанс: атакующие использовали для маскировки вредоносной сетевой активности бренд Чемпионата мира по футболу.

    В октябре 2015 года сайт, предлагающий бесплатную версию Ammyy Admin, уже использовался для распространения вредоносного ПО. Прошлую атаку мы связываем с известной кибергруппой Buhtrap. Сейчас история повторяется. Мы зафиксировали проблему вскоре после полуночи 13 июня, раздача малвари продолжалась до утра 14 июня.


    Удаленное администрирование и бот Kasidet в комплекте


    Пользователи, скачавшие Ammyy Admin 13-14 июня, получили комплект из легитимного софта и многоцелевого трояна, который детектируется продуктами ESET как Win32/Kasidet. Рекомендуем потенциальным жертвам просканировать устройства с помощью антивирусного продукта.

    Win32/Kasidet – бот, который продается в даркнете и активно используется различными кибергруппами. Сборка, обнаруженная на сайте ammyy.com 13 и 14 июня 2018 года, имела две функции:

    1. Кража файлов, которые могут содержать пароли и другие данные авторизации для криптовалютных кошельков и аккаунтов жертвы. С этой целью малварь ищет следующие имена файлов и отправляет их на C&C-сервер:
    — bitcoin
    — pass.txt
    — passwords.txt
    — wallet.dat

    2. Поиск процессов по заданным именам:
    — armoryqt
    — bitcoin
    — exodus
    — electrum
    — jaxx
    — keepass
    — kitty
    — mstsc
    — multibit
    — putty
    — radmin
    — vsphere
    — winscp
    — xshell

    URL-адрес C&C-сервера (hxxp: // fifa2018start [.] Info / panel / tasks.php) также представляет интерес. Похоже, что атакующие решили использовать бренд Чемпионата мира по футболу для маскировки вредоносной сетевой активности.

    Мы обнаружили сходство с атакой 2015 года. Тогда злоумышленники использовали ammyy.com, чтобы раздавать несколько семейств вредоносных программ, меняя их почти каждый день. В 2018 году распространялся только Win32/Kasidet, однако обфускация полезной нагрузки менялась в трех случаях, вероятно, чтобы избежать обнаружения антивирусными продуктами.

    Еще одно сходство между инцидентами – идентичное имя файла, содержащего полезную нагрузку – Ammyy_Service.exe. Загруженный установщик AA_v3.exe может выглядеть легитимным на первый взгляд, однако атакующие использовали SmartInstaller и создали новый бинарный файл, который сбрасывает Ammyy_Service.exe до установки Ammyy Admin.

    Выводы


    Поскольку это не первый случай компрометации сайта ammyy.com, рекомендуем установить надежное антивирусное решение до загрузки Ammyy Admin. Мы сообщили разработчикам Ammyy Admin о проблеме.

    Ammyy Admin – легитимный инструмент, однако им нередко пользовались злоумышленники. В результате некоторые антивирусные продукты, включая ESET, детектируют его как потенциально нежелательное приложение. Однако этот софт по-прежнему широко используется, в частности, в России.

    Индикаторы компрометации


    Детектирование продуктами ESET
    Win32/Kasidet

    Хеши SHA-1

    Установщик

    6D11EA2D7DC9304E8E28E418B1DACFF7809BDC27
    6FB4212B81CD9917293523F9E0C716D2CA4693D4
    675ACA2C0A3E1EEB08D5919F2C866059798E6E93


    Win32/Kasidet

    EFE562F61BE0B5D497F3AA9CF27C03EA212A53C9
    9F9B8A102DD84ABF1349A82E4021884842DC22DD
    4B4498B5AFDAA4B9A2A2195B8B7E376BE10C903E


    C&C-сервер

    fifa2018start[.]info

    ESET NOD32

    110,00

    Компания

    Поделиться публикацией

    Похожие публикации

    Комментарии 29
      0
      Зачем вообще пользоваться этим мусором? Есть куда более удобные и лучшие аналоги
        +6
        Например?
        Чем Вы пользуетесь?
        По работе приходится много подключаться к клиентским ПК, и TeamViewer отключает бесплатные сеансы.
        Использую в качестве альтернативы Ammyy Admin.
          +1
          Что безопасники разрешат, то и использовать. А если они вменяемые и ничего левого не разрешат, то пользоваться встроенным в винду клиентом или качать ножки.
            +2
            У меня нет безопасников.
            Встроенный в винду клиент не позволяет пользователю показать, что надо делать, не позволяет пользователю показать, что он делает.
            Я бы с удовольствием покачал ножки прогулявшись до нашего филиала в Симферополь, но меня не отпускают )-:
              0
              >Встроенный в винду клиент не позволяет пользователю показать, что надо делать, не позволяет пользователю показать, что он делает

              У меня для тебя плохие новости… начиная с как минимум ХР умеет. Вполне ынтырпрайзный вариант, в отличие от радминов которые политиками нельзя гарантированно настроить и уж тем более троянов от Ammyy или TeamViewer
                +1
                Это были бы хорошие новости, но к сожалению время от времени этот вариант ломается после обновлений и не очень оперативно чинится, например вот в windows 10 1709 поломался, говорят в 1803 починился, сам я ещё не проверял

                  0
                  Вы и обновления раскатываете без тестирования? Надо вам безопасников уже заводить. И админов.
                  0
                  >начиная с как минимум ХР умеет

                  То есть, можно подключаться по RDP и видеть чего делает пользователь? Буду признателен за статью. Я может отстал от жизни уже на много лет, но, право, не знал.
                    0
                    Речь про помощника, а не RDP. В принципе он самодостаточен и рулится групповыми политиками, для саппорта ещё SCOMовский какой-то клиент есть для более удобного выбора куда подключаться.
                      0
                      Спасибо. Мне стыдно, но я не думал что этой штукой можно пользоваться… Два человека одновременно могут пользоваться этой штукой? То есть, два человека чтобы помогали. Какие есть минусы у такого решения?
                        0
                        Не будет работать за NAT, это основной и самый существенный минус.
                          0
                          Понял. Только в лок. сети юзать можно.
                            +1
                            Можно не в локальной, если IP белый и на роутере порты пробросить, но это не очень безопасно, RDP наружу выставлять.
                            Можно сделать свой Ammy Admin, то есть поднять VPN и внутри него пользоваться RDP. Но это хуже с точки зрения стабильности, например на удаленном компьютере упало VPN соединение и уже не подключиться.
              0
              any desk? Когда зайдя на сайти Ammyy Admin мне предлагают сменить браузер для закачки софта. я подумал что это отличный совет даже не рассматривать этот мусор. Как видно правильно сделал.
                0
                Спасибо, посмотрю
                +1
                toster.ru/q/542885
                я использую связку:
                для Windowsб -Brynhildr + kitty + SSH + autoit github.com/maxlinus/BrynhildrHelpdesk
                для linux, MAC — x11vnc+repeater
                unixforum.org/viewtopic.php?t=138440#p1293990
                  0
                  Спасибо!
                  +1
                  Я для своих нужд клепал что-то более-менее рабочее и выложил в публичный доступ: habr.com/post/350734
                    +1
                    кстати очень даже хорошо у вас получилось:) давно слежу за проектом
                      0
                      Спасибо, судя по нику я Вас тоже знаю)
                    0
                    Та в смысле? msra, шарринг экрана cisco, numara (bmc сейчас) — это в локалке.
                    Вне — купите TV. Вы же по работе подключаетесь, значит все запланировано и обосновано. Что за дичь?
                    0
                    Использую ammyy admin «переточенный» под себя.
                    Внутри экзешника адрес rl.ammyy.com заменен на свой логин-сервер поднятый на линуксе, там прописаны несколько своих же прокси, собран легкий инсталятор под установку этого решения.
                    Работает довольно неплохо, из заметных минусов проблема с мульти-мониторными рабочими местами — оба монитора «склеиваются» в один экран в клиенте, который соответственно ужимается масштабом до полной неразборчивости. Приходится увеличивать масштаб и скролить во все стороны…
                      0
                      Возможно и моё решение кому-то приглянётся:
                      zerolab.net/?p=2248
                      0
                      У нас приказом сверху запрещено использовать Тимвивер, Скайп на работе. Amyy Admin пользоваться разрешили.
                      0
                      Как сайт взламали? Не легче просто статический сайт просто сделать было.
                        +1
                        из серии «Никогда не было, и вот опять!»
                          +1
                          Для всех кто ищет альтернативы для управления удаленным рабочим столом внутри локальной сети своей организации я бы по рекомендовал посмотреть в сторону DameWare NT Utilities. Очень удобный софт. Удаленно устанавливаются драйвера (без участия пользователя). Так же много других полезных фич.

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое