В образцах вредоносного ПО присутствует один и тот же компонент msoutc.exe, используемый для сокрытия вредоносной активности.
Вредоносное ПО, примененное в недавних атаках на финансовую систему SWIFT, может быть связано со взломом корпоративной сети кинокомпании Sony Pictures Entertainment в 2014 году. Согласно результатам проведенного экспертами BAE Systems анализа, в обоих образцах вредоносного ПО присутствует один и тот же компонент msoutc.exe, используемый для сокрытия вредоносной активности.
Оказавшись на компьютере вредонос проверяет систему на наличие своих копий и при обнаружении таковых запускает скрипт для самоуничтожения. По словам экспертов BAE Systems Сергея Шевченко и Адриана Ниша (Adrian Nish), msoutc.exe использует ключ шифрования y@s!11yid60u7f!07ou74n001, аналогичный реализованному в компьютерном черве SMB Worm Tool, примененного хакерами в ходе взлома систем Sony Pictures Entertainment.
Согласно отчету ИБ-компании Novetta, ответственной за атаку на кинокомпанию является группировка Lazarus APT. В ходе взлома злоумышленники применяли вредоносное ПО Sierra Charlie для получения доступа к многочисленным корпоративным устройствам, принадлежащим целевой организации. Как показал сравнительный анализ, образцы Sierra Charlie и msoutc.exe используют сходный скрипт для «заметания» следов пребывания в системе. Данный код не является публично доступным, отмечают исследователи BAE Systems, поэтому вполне вероятно, что за атаками на SWIFT и Sony Pictures Entertainment могут стоять одни и те же хакеры.
От классики до авангарда — наука во всех жанрах