Следователи из даркнета: как WhiteSnake Stealer открыл путь к многоступенчатому заражению российского предприятия
Злоумышленники похитили данные из десятков каталогов.
В октябре 2023 года специалисты компании «Доктор Веб» расследовали инцидент, связанный с целевой кибератакой на российское машиностроительное предприятие. Атака началась с рассылки фишинговых писем с темой «расследования» неких уголовных дел по уклонению от уплаты налогов.
Письма якобы отправлялись с подменного адреса от имени следователя Следственного комитета РФ. В них содержались вложения - защищенный паролем zip-архив с вредоносной программой и pdf-документ, который не являлся вредоносным. Он содержал фишинговый текст о том, что вся информация об «уголовном деле» находится в архиве, и побуждал открыть вредоносную программу из него.
Самое первое фишинговое письмо содержало архив Требование 19098 Cлед ком РФ от 02.10.23 ПАРОЛЬ - 123123123.zip. В свою очередь, расположенная в нем троянская программа скрывалась в файле Перечень юридических лиц и предприятий, уклонение от уплаты налогов, требования и дополнительные.exe.
Одним из последних отправленных сообщений стало следующее:
К нему был прикреплен фишинговый pdf-документ Требование следователя, уклонение от уплаты налогов (запрос в рамках УД).pdf и zip-архив Трeбoвaниe 19221 СК РФ от 11.10.2023 ПАРОЛЬ - 123123123.zip с таким содержимым:
В этом архиве находилось две копии вредоносной программы: Перечень предприятий, уклонение от уплаты налогов, а также дополнительные материалы.exe и Дополнительные материалы, перечень вопросов, накладные и первичные документы.exe.
Во всех случаях распространяемым злоумышленниками вредоносным приложением был Trojan.Siggen21.39882. Эта вредоносная программа, известная как WhiteSnake Stealer, обладала возможностью кражи учетных данных и установки дополнительных вредоносных программ на компьютеры жертв. Этот троян, распространяемый через даркнет, послужил первым этапом заражения. Получив соответствующие команды, вредоносная программа собрала и передала злоумышленникам информацию о конфигурации профилей Wi-Fi-сетей инфицированной системы, а также пароли доступа к ним. После чего активировался бэкдор JS.BackDoor.60, который и стал основным инструментом взаимодействия злоумышленников с зараженными системами.
Хронология атаки
JS.BackDoor.60 написан на JavaScript и состоит из основного зашифрованного тела и вспомогательных модулей. Через общие функции модули представляют собой дополнительные вредоносные задачи, которые бэкдор может выполнять. Новые модули поступают с удаленного сервера, расширяя возможности трояна.
Для сокрытия своего присутствия JS.BackDoor.60 модифицировал ярлыки в системных каталогах, включая Рабочий стол и Панель задач. В результате при открытии любого ярлыка сначала запускался бэкдор, а затем исходная программа.
Используя JS.BackDoor.60, злоумышленники удаленно управляли зараженной системой и похитили данные из десятков каталогов, включая личные и корпоративные документы. Также хакеры создавали скриншоты с экрана жертвы.
Для аудиоконтроля атакующие задействовали еще один вредонос - BackDoor.SpyBotNET.79. Этот бэкдор записывал звук через микрофон компьютера, но только при обнаружении интенсивности, характерной для человеческого голоса.
Хронология получения задач трояном JS.BackDoor.60
При этом атакующие пытались также заразить систему трояном-загрузчиком Trojan.DownLoader46.24755, однако из-за возникшей ошибки сделать это им не удалось.
По итогам анализа эксперты «Доктор Веб» не смогли связать атаку с известными APT-группировками. Однако инцидент демонстрирует серьезную угрозу от доступных коммерческих вредоносов и социальной инженерии как метода заражения.
Компаниям рекомендуется усилить защиту ИТ-инфраструктуры, особенно рабочих станций и почтовых шлюзов. Также крайне важно регулярно обучать сотрудников правилам кибербезопасности и информировать об актуальных угрозах вредоносного ПО и фишинга.
Большой брат следит за вами, но мы знаем, как остановить его