ESET: Android-ботнет использует Twitter для получения команд

ESET: Android-ботнет использует Twitter для получения команд

ESET: Android-ботнет использует Twitter для получения команд

Недавно обнаруженный бэкдор для Android использует инновационный метод приема команд - он подключается к учетной записи Twitter вместо командного центра, говорят исследователи ESET.

Вредоносная программа Android/Twitoor была разработана для загрузки других вредоносных приложений на зараженные устройства. Исследователи утверждают, что вредонос активен уже в течение месяца. К счастью, эта угроза не распространяется через официальные источники Android, обычно распространение происходит через SMS или вредоносные URL.

По данным исследователей ESET бэкдор выдает себя за различные приложения, например, за порно-плеер или программу для MMS, однако не имеет этого функционала. После запуска вредоносная программа скрывает свое присутствие на зараженном устройстве и начинает проверять определенные аккаунты Twitter через одинаковые промежутки времени для получения команд.

В зависимости от команд, которые он получает, бэкдор может либо загрузить вредоносные приложения на зараженное устройство, либо может переключиться на другую учетную запись Twitter.

«Использование Twitter вместо командного центра – довольно инновационная стратегия для Android-ботнета» - говорит Лукаш Стефанко (Lukáš Štefanko), исследователь вредоносных программ ESET, который обнаружил вредоносное приложение.

ESET объясняют, что ботнетам необходима связь с командным центром, эта связь может выдать наличие вредоносной программы на устройстве и вызвать подозрение пользователей.

Для того, чтобы гарантировать, что связь Twitoor и командного центра устойчива, авторы вредоноса решили шифровать передаваемые сообщения. Они также использовали и новые методы связи, такие как социальные сети.

«Эти каналы связи трудно обнаружить и еще труднее блокировать. С другой стороны, злоумышленники всегда могут зарегистрировать новую учетную запись для этих целей» - объясняет Стефанко.

Исследователь также объясняет, что Twitoor является первым вредоносом для Android, использующим такую стратегию, хотя были обнаружены и другие ботнеты, использовавшие нетрадиционные средства (блоги или облачные системы обмена сообщениями). Однако ботнеты, использующие Twitter и работающие под Windows были обнаружены еще в 2009 году.

Другие социальные сети, в том числе Facebook и LinkedIn, как ожидается, тоже могут быть использованы для этих целей. На данный момент Twitoor используется для загрузки мобильного банковского вредоноса на зараженные устройства, но в скором времени злоумышленники могут переключиться на другие виды вредоносных программ, такие как вымогатели, подчеркивают исследователи ESET.

Для того, чтобы оставаться защищенным, пользователи должны быть осторожными при открытии URL-адресов, которые они получают из ненадежных источников. Также следует убедиться, что операционная система и приложения находятся в актуальном состоянии и обновлены.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

У избравших Россию вымогателей Masque появился загрузчик с C2-связью по DNS

К концу года активность группы Masque, атакующей российские компании с целью внедрения шифровальщиков, возросла. В ее арсенале также появились новые инструменты, и F.A.C.C.T. решила рассказать об этих малоприметных вымогателях.

По данным ИБ-компании, Masque впервые объявилась в интернете в январе этого года. В атаках она использует модификации LockBit 3 (Black) и Babuk (в версии для серверов VMware ESXi), созданные с помощью слитых в Сеть билдеров.

До недавних пор список целей ОПГ был ограничен малым и средним бизнесом; за возврат зашифрованных файлов она требовала от 5 млн до 10 млн руб. в биткоинах или монеро. В период с мая по октябрь активность злоумышленников заметно снизилась, а в ноябре и декабре они провели несколько атак на крупные российские компании.

В сети своих мишеней вымогатели обычно проникают через уязвимости в публично доступных сервисах, в частности, через CVE-2021-44228 (Log4Shell). Взломанный сервер впоследствии используется как плацдарм для развития атаки.

Используемый Masque арсенал зауряден и включает AnyDesk, Mimikatz, PsExec, LocaltoNet и Chisel. Средства обхода защиты применяются редко; в одной из атак с этой целью использовалась утилита TDSSKiller.

Для обеспечения постоянного доступа злоумышленники создают локальные и доменные админ-аккаунты, для продвижения по сети используют RDP и SSH, иногда WinRM или SMBExec из фреймворка Impacket.

Перед запуском шифрования (максимум через две недели после взлома) пароли администраторов домена и пользователей гипервизоров централизованно изменяются. Поскольку Masque не стремится заранее изучить целевую инфраструктуру, данные шифруются далеко не на всех хостах, а резервные копии зачастую остаются в сохранности.

Записка с требованием выкупа, которую воспроизводит применяемый вариант LockBit 3, написана на русском языке; текст с января практически не изменился:

 

Обнаруженный в недавних атаках агент-загрузчик dwm.exe (64-битное приложение Windows весом около 47 Кбайт) привлек внимание исследователей необычным способом коммуникаций: он взаимодействует с C2 с помощью DNS-запросов.

Написанный на C вредонос, по всей видимости, находится в стадии разработки, так как в коде MystiqueLoader, как его нарекли, были найдены ошибки. Для маскировки он прикрыт иконкой легитимной программы Microsoft Netplwiz и пытается обойти защиту за счет обфускации вызовов функций Windows API и использования syscall для вызова функций Native API.

 

Как выяснилось, код MystiqueLoader частично позаимствован из проекта AtomLdr. Конфигурационные данные загрузчика зашифрованы (XOR) и вшиты в виде строк с адресами IPv6.

При запуске вредонос пытается подключиться к C2 перебором по списку, формирует имя домена 3-го уровня и отправляет DNS-запрос AAAA. В случае успеха он получает ответ с идентификатором сеанса, который далее используется для приема команд и отправки отчетов об их выполнении.

Из команд в настоящее время поддерживаются изменение интервала ожидания между запросами, загрузка и запуск в памяти исполняемого файла (PE, EXE, DLL), запрет на выполнение действий и завершение работы.

Исследователи выявили три домена в зоне RU, используемые как C2. Ранее на этих площадках размещались сайты для бухгалтеров и сервисы юридической помощи.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru