В таргетированных атаках используется файл PowerPoint

Олег Иванов 07 Сентября 2017 - 13:42

...

Хакеры используют вредоносные файлы PowerPoint и недавно устраненную уязвимость Microsoft Office для атак на министерства иностранных дел, международные организации и организации, взаимодействующие с международными правительствами. Об этом предупреждает Fortinet.

В атаке используется файл с именем ADVANCED DIPLOMATIC PROTOCOL AND ETIQUETTE SUMMIT.ppsx, который эксплуатирует уязвимость CVE-2017-0199, с помощью которой злоумышленники в свое время распространяли вредоносные программы Dridex, WingBird, Latentbot и Godzilla. Даже после устранения этой уязвимости этот эксплойт пользуется популярностью у злоумышленников.

После открытия вредоносного ppsx-файла, запускается скрипт, который загружает код из XML-файла, расположенного в домене narrowbabwe. net. Затем, по словам экспертов Fortinet, код выполняется, используя функцию анимации PowerPoint Show.

Эксплойт также может обойти функцию UAC (контроль учётных записей пользователей) в Windows, путем запуска eventvwr.exe. Такая техника обхода UAC впервые была описана в августе 2016 года.

Интересно, что вредонос маскирует свой файл под легитимный патч для Microsoft Office. По таймеру вредоносный код запускается каждые 12 секунд, при этом он пытается определить, не выполняется ли он в виртуальной среде. Если виртуальная машина не обнаружена, зловред переходит к отправке данных на удаленный сервер.

Исследователи говорят, что ответ командного центра вредоноса (C&C) содержит произвольные команды, выполняемые с помощью функции eval (). После выполнения команд скрипт отправляет уведомление на сервер.

«Командный центр может отдавать команду загрузки вредоносных программ, чаще всего используются шпионские программы» - утверждает Fortinet.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 27 Февраля 2025 - 11:35

Вирусы-вымогатели Вирусы-шифровальщики Утечки информации Умышленные утечки информации Кража данных Корпорации F6

Anubis: новая партнёрская программа в даркнете возвела шантаж в абсолют

Аналитики департамента киберразведки (Threat Intelligence) компании F6 зафиксировали в даркнете новую партнёрскую программу Anubis. На первый взгляд она функционирует по распространённой модели RaaS (Ransomware as a Service), однако исследователи обнаружили в Anubis элементы бизнес-модели, ранее не встречавшиеся в подобных схемах.

Основные схемы работы Anubis:

Классическая модель RaaS. В рамках этой схемы партнёрам предлагается программа-шифровальщик, которую разработали сами организаторы Anubis.
Схема Data Ransom. В отличие от традиционных атак с использованием программ-вымогателей, эта модель основана на шантаже. Обычно злоумышленники самостоятельно похищают данные компаний и требуют выкуп за их неразглашение. В Anubis предложен иной подход: его администратор, действующий под псевдонимом superSonic, предлагает услуги по ведению переговоров с атакованными организациями. Это может быть полезно тем, кто уже получил доступ к данным, но не обладает необходимыми ресурсами для взаимодействия с жертвой. В описании программы также перечислены методы давления, включая уведомление клиентов, партнёров и регулирующих органов, а также публикации информации в соцсети X.
Продажа доступа к корпоративным системам. В этой схеме партнёр предоставляет доступ к скомпрометированной системе, после чего команда Anubis берёт на себя дальнейшие действия. Если атака оказывается успешной, прибыль делится поровну.

В программе предусмотрены различные модели распределения дохода: в случае RaaS партнёр получает 80% средств, в Data Ransom – 60%. Согласно условиям Anubis, атаковать компании из стран СНГ запрещено.

Возможная связь Anubis с InvaderX

По мнению исследователей F6, Anubis может быть эволюционным развитием другой RaaS-программы — InvaderX. В пользу этой версии свидетельствуют несколько факторов:

В обоих случаях используется редкий алгоритм шифрования ECIES (основанный на эллиптических кривых).
Запрещены атаки на страны БРИКС, что также является нестандартной практикой.
С ноября 2024 года разработчик InvaderX прекратил обновлять информацию о своём сервисе и не проявляет активности на форумах. При этом аккаунт superSonic был создан около полугода назад, а сообщение о запуске Anubis стало его первым публичным объявлением.

На момент исследования участники Anubis уже опубликовали утечки данных по крайней мере четырёх компаний из США, Австралии и Перу.