Новости Хакеры научились атаковать ПК через систему обработки ошибок Windows

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
54.963
Репутация
62.740
Реакции
277.177
RUB
0

Серия прицельных фишинговых атак со стороны неизвестной APT-группировки характеризуется использованием бесфайловых вредоносов, встраивающихся в системный процесс Windows Error Reporting.



У вас Windows ошиблась

Неизвестная APT-группировка атакует жертв с помощью бесфайлового ПО, встраивающегося в службу Windows Error Reporting (WER, сообщения об ошибках). Впрочем, атака начинается со спиэр-фишинга.


Как выяснили эксперты компании Malwarebytes, злоумышленники скомпрометировали некий популярный веб-сайт и использовали фреймворк CactusTorch для осуществления своих атак. Первая атака этой группировки была отмечена 17 сентября 2020 г. Исследователям попались фишинговые письма, содержавшие документ в архиве ZIP. Тематика писем была связана с правом работников на некую компенсацию.


Сразу после открытия документ с помощью вредоносного макроса CactusTorch запускает шеллкод, загружающий в память системы бесфайловый вредонос (на базе .NET), который, в свою очередь, встраивает еще один шеллкод в процесс WerFault.exe — систему обработки ошибок в Windows.


haker600.jpg

Бесфайловые вредоносы усилиями хакеров паразитируют на системных процессах Windows

Подобная методика применяется не впервые: ее использовали авторы таких вредоносов как шифровальщик Cerber и RAT-троянец NetWire.

Отладчика нет? Работаем!

Инфицированная служба WER производит несколько проверок на предмет присутствия виртуализированных сред, сэндбоксов или отладчиков. Если их не обнаруживается, то производится распаковка и загрузка последнего шеллкода, который должен загрузить еще один вредоносный компонент — в виде поддельного ярлычка веб-сайта. Перехватить и проанализировать его исследователям не удалось, поскольку сервер, с которого этот компонент подтягивается, был отключен.


Исследователи не смогли с уверенностью соотнести данные атаки ни с одной известной кибергруппировкой. Некоторые индикаторы компрометации и методики позволяют предположить связь с вьетнамской группой APT32 (она же OceanLotus и SeaLotus). Эта группировка, в частности, также использует CactusTorch. Вдобавок домен, ссылки на который содержатся в фишинговых письмах (yourrighttocompensation.com) зарегистрирован в Хошимине, крупнейшем городе на севере Вьетнамской республики.


APT32 ранее атаковала компании, инвестирующие в разные отрасли вьетнамской промышленности и сферы услуг, а также исследовательские учреждения во всем мире и правозащитные организации. Кроме того, ее операторы организовывали шпионские атаки против китайских судостроительных фирм.


Тем не менее, исследователи Malwarebytes говорят, что без изучения финального вредоносного компонента утверждать, что за атаками стоит именно APT32, невозможно.


«Бесфайловые вредоносы несут особую угрозу, поскольку их обнаружение существенно затруднено, однако главный вопрос — это изначальный вектор атаки, — считает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — В спиэр-фишинге нет ничего радикально нового и сверхтехнологичного. Они работают только в тех случаях, когда жертвы не могут отличить мошеннические письма от легитимных. Сообщения из непроверенных источников с вложениями, которые пытаются заставить пользователя активировать содержимое, — это повод немедленно проинформировать специалистов по информбезопасности».
 
Сверху Снизу