Первые признаки взлома появляются лишь спустя месяцы после атаки.
Исследователи безопасности из китайской компании QiAnXin обнаружили новую сложную вредоносную кампанию под названием DarkCracks, которая использует взломанные веб-сайты GLPI и WordPress для распространения вредоносных загрузчиков и управления заражёнными устройствами. Кампания была выявлена после анализа подозрительных файлов, отправленных на VirusTotal, где было замечено полное отсутствие детектирования антивирусами.
DarkCracks представляет собой систему доставки и обновления вредоносных программ, рассчитанную на долгосрочную эксплуатацию взломанных устройств. Вредоносные компоненты внедряются через сайты общественного пользования, такие как школьные порталы, системы бронирования и городские транспортные системы. Заражённые устройства выполняют роль узлов для дальнейшего распространения вредоносного ПО и контроля над другими заражёнными устройствами.
Схема работы DarkCracks сложна и изощрённа: атака начинается с загрузки вредоносных файлов на целевые серверы, которые затем скачивают и запускают дополнительные компоненты. Эти компоненты отвечают за сбор данных с заражённых устройств, поддержку долгосрочного доступа и скрытое управление. Атака в основном нацелена на высокопроизводительные устройства, которые могут служить серверами управления и контроля (C2) и загружать новые версии вредоносных файлов.
Особенностью кампании DarkCracks является её способность к маскировке и устойчивость к обнаружению. Многие компоненты вредоносного ПО оставались незамеченными на протяжении года. Несмотря на попытки исследователей проанализировать все элементы, некоторые части системы до сих пор остаются необнаруженными, в частности, основная компонента под названием Launcher, отвечающая за запуск атакующих процессов.
Одной из уникальных находок стало использование файла-ловушки, названного «김영미 이력서» (резюме на корейском), что предполагает целенаправленное фишинговое воздействие на корейских пользователей. Этот документ, защищённый паролем, был загружен на один из серверов, участвующих в кампании.
Исследование началось в июне 2024 года, когда команда QiAnXin зафиксировала подозрительный трафик, исходящий с IP-адреса, принадлежащего системе GLPI. Впоследствии было установлено, что злоумышленники использовали скомпрометированные серверы для загрузки вредоносных файлов, скрывая свою активность через многослойные механизмы маскировки и обновления.
Тем не менее, несмотря на тщательную маскировку и использование продвинутых методов шифрования данных, QiAnXin смогла выявить компоненты системы и понять основную логику её работы. Система доставки вредоносных программ работает по принципу трёхуровневой проверки URL, что позволяет ей находить резервные копии компонентов в случае, если основной сервер будет отключён.
Исследователи предупреждают администраторов IT-систем о необходимости повышенного внимания к подозрительным процессам на серверах, особенно к системам, связанным с IT-активами и веб-контентом, таким как GLPI и WordPress. Для защиты от таких угроз рекомендуется регулярно обновлять ПО, устанавливать патчи безопасности и проверять логи на наличие подозрительного сетевого трафика.
DarkCracks является очередным напоминанием о том, что злоумышленники продолжают разрабатывать всё более сложные и труднообнаружимые системы для взлома и кражи данных, поэтому защита корпоративных сетей требует постоянного совершенствования и внимательности.
И мы тоже не спим, чтобы держать вас в курсе всех угроз