Pull to refresh
0
Rating

Злоумышленники использовали украденный цифровой сертификат для вредоносной кампании Duqu2

ESET NOD32 corporate blog
Несколько дней назад в нашу антивирусную лабораторию поступил исполняемый PE-файл (драйвер), который содержал действительную цифровую подпись. Мы добавили его в базу как Win64/Duqu.AC. Сертификат был выдан известной тайваньской компании Foxconn (Hon Hai Precision Industry Co.), которая специализируется на производстве электроники, а также является одной из крупнейших компаний, занимающейся производством компонентов флагманских устройств таких известных компаний как Apple, Canon, Sony.



Ранее мы уже писали про эту вредоносную кампанию, в которой злоумышленники использовали новую версию state-sponsored вредоносного ПО Duqu (Duqu2, Duqu.B), а также про другие обнаружения этой вредоносной программы со стороны наших AV продуктов. Указанный драйвер имеет небольшой размер (27 448 байт) и используется атакующими для манипулирования сетевым трафиком на уровне NDIS в скомпрометированной системе.


Рис. Название объекта-устройства, а также символьной ссылки, которые вредоносный драйвер создает в системе (индикатор заражения).

Уже по информации об импортах драйвера (ndis.sys) видно, что он специализируется на работе с сетевым трафиком на уровне NDIS.


Рис. Часть импортируемых Win64/Duqu.AC функций.


Рис. Действительная цифровая подпись Win64/Duqu.AC. Скомпрометированный сертификат был еще действителен.


Рис. Свойства вредоносного файла.

Кража цифрового сертификата роднит вредоносную кампанию по распространению Duqu2 с другой вредоносной компанией по распространению известного червя Stuxnet, его драйверы также содержали цифровую подпись, причем сертификаты также были похищены у технологических компаний: JMicron и Realtek. Снабжение вредоносного драйвера цифровой подписью является стопроцентным решением обеспечить загрузку такого драйвера в 64-битной версии Windows.

Указанный драйвер имеет следующие отпечатки:

MD5: 92e724291056a5e30eca038ee637a23f
SHA1: 478c076749bef74eaf9bed4af917aee228620b23
SHA256: bc4ae56434b45818f57724f4cd19354a13e5964fd097d1933a30e2e31c9bdfa5
Tags:
Hubs:
Total votes 7: ↑7 and ↓0 +7
Views 11K
Comments Comments 3

Information

Founded
Location
Словакия
Website
www.esetnod32.ru
Employees
1,001–5,000 employees
Registered