Кажущийся безобидным файл
Российский бизнес столкнулся с волной скоординированных кибератак, целью которых является внедрение в корпоративные сети трояна удаленного доступа Amnesia RAT и программ-шифровальщиков. Такие данные приводят специалисты из исследовательского центра FortiGuard Labs компании Fortinet.
«Кампания стартует с фишинговой рассылки, в которой используются деловые документы, выглядящие совершенно обыденно. Эти файлы и сопутствующие им скрипты служат для визуального отвлечения: пока жертва сосредоточена на поддельных задачах и уведомлениях, на заднем плане разворачивается вредоносная деятельность», — поясняет Кара Линь (Cara Lin), аналитик FortiGuard.
Как отмечает издание The Hacker News, текущая атака примечательна несколькими особенностями. Во-первых, различные компоненты вредоносного ПО размещены на разных публичных платформах: скрипты — на GitHub, а исполняемые файлы — в Dropbox. Это осложняет процедуру полного удаления угрозы.
Кроме того, активно применяется утилита defendnot, которая обезвреживает защитник Windows (она вводит встроенный антивирус в заблуждение, имитируя наличие другого защитного решения). Автором этого инструмента является человек, известный под псевдонимом Кes3n1n, которого считают экспертом в области кибербезопасности.
Злоумышленники распространяют ZIP-архивы, содержащие множество документов-приманок и вредоносный файл-ярлык LNK с двойным расширением (например, «Задание_для_бухгалтера_02отдела.txt.lnk»).
При его запуске выполняется команда PowerShell, загружающая из репозитория GitHub (github[.]com/Mafin111/MafinREP111) новый PowerShell-скрипт. Он действует как загрузчик первой ступени и подготавливает систему к сокрытию следов зловредной активности.
В частности, он скрывает окно консоли PowerShell и маскирует выполнение кода. Параллельно создается новый текстовый документ-обманка, который сохраняется на диск и автоматически открывается, а также отправляется уведомление атакующим через API Telegram-бота об успешном завершении первого этапа.
Далее, после паузы в 444 секунды, PowerShell-скрипт запускает следующий скрипт, на этот раз написанный на Visual Basic (SCRRC4ryuk.vbe). Он хранится в том же репозитории. По словам исследователей, такой подход позволяет сохранять небольшой размер загрузчика и при необходимости модифицировать полезную нагрузку, не меняя всю цепочку заражения.
Скрипт VBS тщательно замаскирован (обфусцирован). Он функционирует как контроллер, который собирает вредоносный компонент следующей стадии полностью в оперативной памяти, не оставляя следов на жестком диске.
Финальный скрипт в цепочке проверяет наличие административных прав, и если их нет, то отображает пользователю запрос от службы UAC с предложением предоставить такие права. В случае отказа скрипт выжидает 3000 миллисекунд (3 секунды) и повторяет попытку.
Как обойти защиту
На следующей стадии атаки вредоносная программа стремится скрыть своё присутствие, обезвредить средства защиты в операционной системе, а также изучает окружение и блокирует инструменты, предназначенные для восстановления информации.
Конкретно, в параметрах Microsoft Defender вносятся дополнительные исключения, в результате чего такие папки, как Program Data, Program Files, Desktop, Downloads и каталог временных файлов, перестают проверяться. Далее, используя PowerShell, отключаются другие защитные механизмы Defender.
С применением утилиты defendnot устанавливается фальшивый антивирус, что приводит к полному отключению Microsoft Defender.
Исследование среды осуществляется посредством специального модуля .NET, загруженного с GitHub; с интервалом в 30 секунд он захватывает изображение экрана и пересылает его злоумышленнику в формате PNG.
Затем вредонос вносит изменения в системный реестр, деактивируя тем самым ряд административных и диагностических утилит.
Кроме того, программа изменяет ассоциации файлов для некоторых расширений, так что при попытке их открыть пользователь видит сообщение с предложением связаться с атакующим через Telegram.
После нейтрализации защитных механизмов в систему загружается Amnesia RAT (в виде файла svchost.scr, скачанного с Dropbox).
Данный вредонос предоставляет злоумышленникам удалённый доступ и контроль над системой, а также позволяет извлечь обширный спектр данных — из браузеров, криптокошельков, учётных записей Discord, Steam и Telegram, а также системные метаданные, скриншоты, изображения с веб-камеры, аудиозаписи с микрофона, содержимое буфера обмена и название активного окна.
Вместе с Amnesia в систему попадает шифровальщик — вариант семейства Hakuna Matata, который кодирует документы, архивы, изображения, файлы с исходным кодом, медиафайлы и ресурсы приложений. Предварительно он останавливает все процессы, способные помешать этой операции.
Помимо этого, шифровальщик подменяет адреса криптокошельков, чтобы все платежи перенаправлялись на кошельки злоумышленников.
Процесс завершается установкой и запуском WinLocker, который лишает пользователя возможности работать с операционной системой.
«Создаётся впечатление, что эти вредоносные программы разработаны не только для хищения данных, криптовалюты и последующего шантажа, но и для того, чтобы сделать атаку как можно более наглядной, — считает Никита Павлов, эксперт по кибербезопасности компании SEQ. — Также обращает на себя внимание искусное использование злоумышленниками уязвимостей в стандартных инструментах Windows. В то же время, например, Microsoft Defender можно относительно просто перенастроить, чтобы исключить несанкционированное вмешательство в его работу. В таком случае атака окажется безрезультатной».
В Microsoft советуют убедиться, что в стандартном антивирусе активирована функция Tamper Protection («Защита от несанкционированного изменения»). Эта функция предназначена для предотвращения попыток вредоносных программ изменить настройки антивируса.
