В декабре прошлого года была впервые зафиксирована активность новой APT-группы под названием Patchwork. Как сообщили исследователи компании Cymmetria, данная индийская группа могла быть организована еще в 2014 году, год назад ее жертвами стали 2, 5 тыс. пользователей.
Злоумышленники из Patchwork подвергают атаке главным образом правительственные организации и связанные с ними компании по всему миру, в том числе в США, Европе, Южной Азии, Азиатско-Тихоокеанском регионе и на Среднем Востоке. По мнению экспертов хакеры этой новой группы, скорее всего, являются индийцами по происхождению. Это не совсем обычно, так как APT-группировки принято связывать с Китаем и Россией, но не с Индией.
Несмотря на уж очень ограниченные технические возможности хакеров из Patchwork, их кампании впечатляют своей эффективностью. Название группировки от «patchwork» – техника шитья из лоскутов ткани, так как они используют при разработке своих инструментов и вредоносного ПО самые разнообразные коды, которые взяты из различных источников, таких как online-форумы, GitHub и черный рынок. Во время второго этапа кампании индийские хакеры применяли вредонос только после того, как убеждались в получении устойчивости на системе жертвы.
Еще не успел утихнуть шум вокруг вредоносного ПО Backdoor.MAC.Eleanor, как ИБ-эксперты сообщили о новом бэкдоре. Согласно исследователям ESET, вредонос OSX/Keydnap похищает содержимое связки ключей (keychain) Mac OS X и предоставляет злоумышленникам постоянный доступ к скомпрометированной системе. Точно определить способ, с помощью которого происходит заражение, сложно, предполагается, что бэкдор распространяется через спам-письма, но также не исключено его попадание на систему через приложения, загруженные из недоверенных источников, как стало известно, один из компонентов загрузчика распространяется с помощью ZIP-файла. Исполняемый файл в формате Mach-O, маскирующийся под текстовый или JPEG-файл, содержится в ZIP-архиве. В конце расширения присутствует пробел и при двойном клике на файл он открывается в Terminal, а не в TextEdit или Preview, Finder идентифицирует иконку исполняемого файла как JPEG или TXT и пользователь, который ничего не подозревает, открывает его.
Бэкдор, упакованный с помощью модифицированной версии UPX, добивается персистентности на системе, устанавливая PLIST-файл в /Library/LaunchAgents/ при наличии прав суперпользователя или $USER/Library/LaunchAgents/ без прав суперпользователя. Исполняемый файл icloudsyncd сохраняется в директории Library/Application Support/com.apple.iCloud.sync.daemon.
Новая разновидность трояна Kovter, которая маскируется под легитимные обновления для Firefox распространяется с помощью атак drive-by-download. При посещении зараженного сайта, пользователю предлагается установить поддельное обновление для браузера.
После чего, вредонос устанавливает на инфицированную систему удаленно обновляемые трояны для доступа к компьютеру, кликает на рекламные ссылки, а также выполняет функции вымогательского ПО, в это время на системе им записывается встроенный зашифрованный скрипт в несколько разных участков реестра Windows и использует PowerShell.exe для вредоносных действий. Kovter обходится без файлов.
Злоумышленники из Patchwork подвергают атаке главным образом правительственные организации и связанные с ними компании по всему миру, в том числе в США, Европе, Южной Азии, Азиатско-Тихоокеанском регионе и на Среднем Востоке. По мнению экспертов хакеры этой новой группы, скорее всего, являются индийцами по происхождению. Это не совсем обычно, так как APT-группировки принято связывать с Китаем и Россией, но не с Индией.
Несмотря на уж очень ограниченные технические возможности хакеров из Patchwork, их кампании впечатляют своей эффективностью. Название группировки от «patchwork» – техника шитья из лоскутов ткани, так как они используют при разработке своих инструментов и вредоносного ПО самые разнообразные коды, которые взяты из различных источников, таких как online-форумы, GitHub и черный рынок. Во время второго этапа кампании индийские хакеры применяли вредонос только после того, как убеждались в получении устойчивости на системе жертвы.
OSX/Keydnap
Еще не успел утихнуть шум вокруг вредоносного ПО Backdoor.MAC.Eleanor, как ИБ-эксперты сообщили о новом бэкдоре. Согласно исследователям ESET, вредонос OSX/Keydnap похищает содержимое связки ключей (keychain) Mac OS X и предоставляет злоумышленникам постоянный доступ к скомпрометированной системе. Точно определить способ, с помощью которого происходит заражение, сложно, предполагается, что бэкдор распространяется через спам-письма, но также не исключено его попадание на систему через приложения, загруженные из недоверенных источников, как стало известно, один из компонентов загрузчика распространяется с помощью ZIP-файла. Исполняемый файл в формате Mach-O, маскирующийся под текстовый или JPEG-файл, содержится в ZIP-архиве. В конце расширения присутствует пробел и при двойном клике на файл он открывается в Terminal, а не в TextEdit или Preview, Finder идентифицирует иконку исполняемого файла как JPEG или TXT и пользователь, который ничего не подозревает, открывает его.
Бэкдор, упакованный с помощью модифицированной версии UPX, добивается персистентности на системе, устанавливая PLIST-файл в /Library/LaunchAgents/ при наличии прав суперпользователя или $USER/Library/LaunchAgents/ без прав суперпользователя. Исполняемый файл icloudsyncd сохраняется в директории Library/Application Support/com.apple.iCloud.sync.daemon.
Вариант трояна Kovter
Новая разновидность трояна Kovter, которая маскируется под легитимные обновления для Firefox распространяется с помощью атак drive-by-download. При посещении зараженного сайта, пользователю предлагается установить поддельное обновление для браузера.
После чего, вредонос устанавливает на инфицированную систему удаленно обновляемые трояны для доступа к компьютеру, кликает на рекламные ссылки, а также выполняет функции вымогательского ПО, в это время на системе им записывается встроенный зашифрованный скрипт в несколько разных участков реестра Windows и использует PowerShell.exe для вредоносных действий. Kovter обходится без файлов.
