Для маскировки в качестве контрольного сервера применяется Яндекс.Диск
В апреле 2022 года специалисты PT Expert Security Center компании Positive Technologies в ходе ежедневного мониторинга угроз выявили атаку на ряд российских организаций (СМИ и энергетические компании) с использованием вредоносного документа.
Анализ вредоносного ПО, использованного злоумышленниками, показал, что за этими атаками стоит группировка APT31. В обеих кампаниях зафиксированы идентичные фрагменты кода, получающего информацию о сетевых адаптерах и собирающего данные о зараженной системе, заглушки в документах имели явное сходство, а для управления вредоносным ПО применялись облачные серверы.
Экземпляры изученного ВПО датируются периодом с ноября 2021 года по июнь 2022-го. Все они содержат легитимные файлы, основная задача которых — передача управления вредоносной библиотеке с помощью, например, техники DLL Side-Loading и формирование инициализирующего пакета, который отправляется на контрольный сервер. Значительная часть выявленных легитимных исполняемых файлов является каким-либо компонентом Яндекс.Браузера и подписана действительной цифровой подписью.
В ходе анализа было выявлено две новых разновидности вредоносного ПО, которые назвали YaRAT (так как использует Яндекс.Диск в качестве контрольного сервера плюс обладает функциональностью RAT) и Stealer0x3401 (по константе, используемой при обфускации ключа шифрования). В случае YaRAT в качестве легитимного файла, уязвимого для DLL Side-Loading, использовался инсталлятор Яндекс.Браузера, подписанный действительной цифровой подписью «Яндекса» (либо его portable-версия). Во вредоносном ПО Stealer0x3401 применялся легитимный бинарный файл dot1xtray.exe, подгружающий вредоносную библиотеку msvcr110.dll.
По словам Даниила Колоскова, вредоносное ПО, использующее в качестве контрольного сервера Яндекс.Диск, крайне сложно детектировать по сетевому взаимодействию: «Фактически это обычный легитимный трафик между клиентом и сервисом. Эти зловреды можно обнаружить лишь в динамике при помощи средств мониторинга, в том числе и антивирусными технологиями. Поэтому важно работать превентивно — рассказывать сотрудникам о мерах цифровой гигиены и об используемых злоумышленниками фишинговых техниках. Кроме того, в компании желательно иметь отдельный адрес, куда сотрудники смогут присылать образцы полученных подозрительных писем и сообщать о них специалистам по ИБ. Конечно же, нужно использовать и антивирусные продукты, песочницы (например, PT Sandbox) и системы класса EDR/XDR для обнаружения угроз и реагирования на них», — отметил эксперт.
Источник: securitylab
