Команда исследователей Check Point Research, подразделения Check Point Software Technologies Ltd. обнаружила и заблокировала операцию по наблюдению за правительством одной из стран Юго-Восточной Азии. Злоумышленники (CPR считает, что это китайская кибергруппировка) систематически рассылали вредоносные документы. Они выдавали себя за представителей правительства (или других ведомств) отправляя письма сотрудникам МИДа. CPR подозревает, что цель операции – шпионаж через установку ранее неизвестного бэкдора в ПО Windows. После установки бэкдора злоумышленники смогли бы собирать практически любую информацию, которую они хотят, а также делать снимки экрана и запускать дополнительные вредоносные программы на устройстве жертвы. Расследование CPR показало, что злоумышленники тестировали и совершенствовали бэкдор-инструмент Windows как минимум последние три года.
В общих чертах, в цепочке заражения можно выделить следующие этапы. Жертва получает электронное письмо с прикрепленным документом, якобы отправленное другим министерством или комиссией. Открывая документ, жертва запускает некую последовательность, цепочку действий, которые в итоге открывают бэкдор.
Бэкдор собирает любую информацию, которую хотят злоумышленники: список файлов и активных программ на ПК, а еще обеспечивает киберпреступникам удаленный доступ к зараженному устройству.
В течение трех лет злоумышленники разрабатывали новый бэкдор — вредоносное ПО, которое отменяет обычные процедуры аутентификации для доступа к системе. Модуль бэкдора с внутренним именем «VictoryDll_x86.dll» содержит настраиваемое вредоносное ПО со следующими возможностями. Удаление / создание / переименование / чтение / запись файлов и получение атрибутов (метаданных) файлов. Получение информации о процессах и сервисах. Изготовление скриншотов. Получение доступа к системным вызовам Read / Write — запуск команд через cmd.exe. Создание / завершение процессов. Получение таблицы TCP / UDP. Получение информации о ключах реестра. Получение заголовков всех окон верхнего уровня. Получение информации о ПК жертвы — имя компьютера, пользователя, адрес шлюза, данные сетевого адаптера, версию Windows (основная / дополнительная версия и номер сборки) и тип пользователя. Выключение ПК.
Со средней или высокой степенью достоверности CPR связывает эту операцию с китайской группировкой, основываясь на следующих артефактах и индикаторах.
Командно-контрольные серверы (C&C) поддерживали связь только с 01:00 до 08:00 UTC. По мнению исследователей, это указывает на рабочее время в конкретной стране/регионе злоумышленников – поэтому территориальный диапазон возможных источников этой атаки ограничен.
Серверы C&C не возвращали никакой полезной нагрузки (даже в рабочее время) в период с 1 по 5 мая – в это время в Китае праздник – День Труда.
Некоторые тестовые версии бэкдора имели записи о проверке подключения к сети с www.baidu.com — известным китайским сайтом.
Набор эксплойтов RoyalRoad RTF, используемый во вредоносных документах для атаки, в основном связан с китайскими APT-группировками.
Некоторые тестовые версии бэкдора 2018 года были загружены на VirusTotal из Китая.
Во-первых, командно-контрольный сервер работал примерно в те же часы, когда в Китае рабочее время, а инфраструктура менялась несколько раз на протяжении всей кампании.
Во-вторых, вредоносная программа-бэкдор разрабатывалась с 2017 года, но позднее ее разбили на несколько этапов, чтобы затруднить анализ и обнаружение.
«Все свидетельства указывают на то, что мы имеем дело с высокоорганизованной группировкой, которая приложила значительные усилия, чтобы оставаться незамеченной, — рассказывает Лотем Финкельстин, руководитель отдела анализа угроз компании Check Point Software. — Каждые несколько недель злоумышленники рассылали фишинговые письма с вредоносными вложениями якобы правительственных документов, чтобы попытаться попасть в сеть МИДа нужной страны. Это означает, что злоумышленники сначала должны были атаковать другой департамент этого же государства, похищая документы (и добавляя к ним вредоносную нагрузку) для дальнейшего использования. Киберпреступники (мы считаем, что это китайская группировка), действовали очень систематично. В итоге наше расследование привело к обнаружению нового бэкдора Windows, оружия для кибершпионажа, которое китайские хакеры разрабатывали с 2017 года. Бэкдор совершенствовали в течение трех лет, прежде чем использовали в реальной жизни. Он очень въедлив и способен собирать огромное количество данных с зараженного компьютера. Мы узнали, что злоумышленников интересуют не только данные, но и то, что происходит на ПК жертвы в любой момент – это шпионаж в реальном времени. Мы смогли заблокировать эту конкретную операцию, но вполне возможно, что эта группировка использует новое оружие для других целей по всему миру».