Инструмент, предположительно связанный с группой хакеров Equation Group, был представлен публике примерно неделю назад. Теперь же исследователи отмечают его появление в реальных атаках.
Получивший название DoublePulsar, бэкдор был выпущен группой хакеров Shadow Brokers в пятницу перед Пасхой, представлял собой защищенный паролем архив, содержащий набор хакерских инструментов и эксплойтов. На прошлой неделе Microsoft заявила, что эти эксплойты не затрагивают современные системы.
Этот сложный многокомпонентный SMB-бэкдор может скрываться в системе и избегать обнаружения встроенных средств защиты. Злоумышленник может заразить систему и вернуться к ней через заданный промежуток времени для выполнения вредоносных действий.
Как отмечают , DoublePulsar хорошо скрывается в системе и работает в режиме ядра, этот бэкдор устанавливается многими эксплоитами. Вредонос использоваться для вставки произвольных DLL в пользовательские процессы.
После углубленного анализа, исследователи Countercept обнаружили, что вредоносная программа будет перебирать процессы, пока не найдет подходящий для инъекции DLL и выполнения кода.
Эксперты также постарались найти какой-либо способ обнаружения DoublePulsar в системе. В результате этого ими был выпущен соответствующий .
«Бэкдор повторно использует команду ping, этот факт можно использовать для того, чтобы определить, заражена система или нет» - объясняют исследователи.
