Аналитики нашей антивирусной лаборатории провели расследование серии кибератак и вредоносных кампаний с использованием вредоносного ПО Win32/Potao. Несмотря на то, что антивирусные продукты нашей компании, а также некоторые другие антивирусные вендоры, уже обнаруживали это вредоносное ПО, оно оставалось вне публичного поля. Первые образцы Win32/Potao датируются 2011 г.
Кибератаки с использованием Potao относятся к типу направленных атак, некоторые примеры которых мы уже рассматривали ранее. Речь идет о вредоносном ПО BlackEnergy (a.k.a. Sandworm, Quedagh), которое преобладает на Украине, в России, а также в некоторых странах СНГ, включая, Грузию и Беларусь.
Жертвами Potao стали компьютерные сети военных и правительства Украины, а также одно из ведущих украинских новостных агентств. Кроме этого, вредоносная программа использовалась злоумышленниками для шпионажа за участниками финансовой пирамиды МММ, которая является популярной и в России, и на Украине. Одна из наиболее интересных особенностей этой вредоносной кампании заключается в том, что злоумышленники компрометировали известное open-source легитимное ПО для шифрования TrueCrypt, а затем использовали его для распространения вредоносного ПО.
Российский веб-сайт этого инструмента шифрования с адресом truecryptrussia.ru распространял приложение TrueCrypt, которое содержало бэкдор. Интересная особенность заключается в том, что вредоносные экземпляры этого приложения доставлялись только некоторым пользователям, что является индикатором направленности этой вредоносной кампании. Эта особенность также объясняет тот факт, что бэкдор долгое время оставался незаметным для пользователей и посетителей указанного веб-сайта. Этот вышеуказанный домен использовался операторами в качестве управляющего C&C-сервера для вредоносной программы. В некоторых случаях Win32/Potao загружается на компьютер другой вредоносной программой, которая обнаруживается нашими продуктами как Win32/FakeTC.
Наш отчет содержит детальную информацию о большом количестве атак с использованием Win32/Potao, которые злоумышленники организовывали на протяжении последних 5 лет. Аналогично вредоносному ПО BlackEnergy, которое использовалось кибергруппой Sandworm, Potao представляет из себя универсальный модульный инструмент для кибершпионажа. Кибератаки, в которых использовался Potao, относятся к типу Advanced Persistent Threat (APT) и являются направленными (targeted). Мы наблюдали лишь единичные случаи использования Potao в массовых вредоносных кампаниях.
Общая информация
Как мы уже упоминали ранее, вредоносное ПО Potao не является новым, оно было обнаружено еще в 2011 г. Одной из возможных причин, по которой это вредоносное ПО еще не было публично освещено, является его активность. В период с 2011 по 2013 гг. количество обнаружений этой вредоносной программы было низким. Значительный рост распространенности Potao, по данным ESET LiveGrid, наблюдался в 2014 и 2015 гг. (Рис 1.)
Рис. 1. Статистика распространения Win32/Potao в разные промежутки времени по данным ESET LiveGrid.
На диаграмме выше видно, что мы не привели статистику для Win32/Potao за 2011 г. Это было сделано по той причине, что в этот период времени Potao распространялся злоумышленниками в рамках массовых кампаний, т. е. в это время вредоносная программа не использовалась в направленных атаках против пользователей. Отладочные версии Potao, обнаруженные в 2013 г., также были исключены из данных диаграммы.
Использование Potao в массовых кампаниях против пользователей делает его похожим на такое вредоносное ПО как BlackEnergy или, даже, Stuxnet. Эти известные вредоносные программы применялись злоумышленниками для направленных кибератак, но в конечном счете получили широкое распространение, заражая и тех пользователей, для которых они не были рассчитаны изначально. В процессе расследования вредоносных кампаний с участием Potao мы обнаружили, что злоумышленники использовали отладочные версии этого вредоносного ПО для его тестирования перед эксплуатацией в направленных атаках.
Основной причиной роста количества обнаружений Potao в 2014 и 2015 гг. был добавленный злоумышленниками механизм заражения съемных USB-носителей.
Рис. 2. Хронология вредоносных кампаний с использованием Potao.
Для составления вышеуказанной хронологии использовались данные нашей облачной системы ESET LiveGrid, а также временные метки исполняемых PE-файлов вредоносной программы.
Первая киберкампания с использованием Potao была зафиксирована в августе 2011 г. Это не была направленная атака, так как она носила массовый характер. Исполняемые файлы вредоносной программы, которые использовались в этой кампании, содержали зашифрованную строку GlobalPotao.
Механизм распространения Potao в этой вредоносной кампании был довольно тривиальным, но довольно эффективным. Дропперы вредоносной программы распространялись в качестве вложений фишинговых сообщений электронной почты, при этом в качестве значка исполняемого файла использовался значок документов MS Word. Подобная маскировка помогает усыпить внимание пользователей, которые получают такие фишинговые сообщения. Нужно отметить, что злоумышленники не использовали какие-либо эксплойты для автоматической установки вредоносной программы. Кроме полезной нагрузки, дропперы содержали фальшивый документ Word, который отображался пользователю для маскировки процесса установки вредоносной программы в систему.
Рис. 3. Фальшивый decoy-документ (приманка), который дроппер Potao показывает пользователю для маскировки процесса своей установки в систему.
Другие дропперы Potao, которые использовались во вредоносных кампаниях в 2011 г., содержали документы на армянском языке. Интересно отметить, что в качестве одного из decoy-документов использовался легитимный документ, принадлежащий министерству труда и социальных дел Армении (Armenian Ministry of Labor and Social Affairs).
Рис. 4. Легитимный decoy-документ на армянском языке, который использовался в дропперах Potao в 2011 г.
Другая вредоносная киберкампания была направлена злоумышленниками на участников финансовой пирамиды «МММ». Исполняемые файлы Potao, которые использовались в кампании против участников МММ, имели временные метки компиляции 27 апреля 2012 г. и идентификатор (ID) кампании 00km. Фальшивый decoy-документ использует тему вступления в пирамиду.
Рис. 5. Decoy-документ дроппера, который был использован во вредоносных кампаниях против участников МММ.
В этой вредоносной кампании также были обнаружены дропперы Potao с decoy-документами, которые содержали случайные последовательности кириллических символов. Как мы обнаружили позднее, использование документов с произвольными наборами символов, является своего рода брендом этой кибергруппы.
Рис. 6. Decoy-документ, который использовался во вредоносных кампаниях против участников МММ.
Файл, который указан выше, был назван злоумышленниками «Отчет о выплате Ковалевой Александре.exe». Кроме этого, идентификатор вредоносной кампании (campaign ID) mmmL подтверждает использование вредоносного ПО злоумышленниками против пользователей МММ.
Основатель пирамиды МММ Сергей Мавроди, 19-го июня 2012 г. опубликовал на сайте пирамиды предупреждение о том, что злоумышленники рассылают от его имени фишинговые сообщения, которые содержат ссылку на вредоносное ПО, размещенное на Dropbox.
Рис. 7. Сообщение с предупреждением о вредоносной рассылке от основателя МММ Сергея Мавроди.
Рис. 8. Архив с вредоносной программой, размещенный на сервисе Dropbox.
Злоумышленники использовали следующие названия файлов, которые указаны выше: «Анкета и правила», «anketa_i_pravidla», дропперы содержали метку компиляции 13 июня 2012 г. и ID кампании «NMMM».
Мы можем предположить, что операторы Potao использовали это шпионское вредоносное ПО для шпионажа за участниками или организаторами этой финансовой пирамиды.
В 2013 г. следы Potao были обнаружены в Грузии. Исполняемый файл вредоносной программы, который имел временную метку от 15 октября 2013 г., назывался «Wedding_invitation.exe». На этот раз decoy-документ содержал текст свадебного приглашения. Название файла и текст документа содержали текст на английском языке.
Рис. 9. Внешний вид decoy-документа, который использовался в дропперах Potao, нацеленных на пользователей Грузии.
Potao на Украине
Перед тем как обнаружить рост активности Win32/Potao на Украине в 2014 г., мы обнаружили несколько отладочных (debug) версий этой вредоносной программы осенью 2013 г. Можно предположить, что злоумышленники тестировали новую версию вредоносной программы перед ее использованием в направленных кибератаках на украинских пользователей.
Рис. 10. Фрагмент кода отладочной версии вредоносной программы.
Интересно отметить, что один из идентификаторов кампании в этих отладочных версиях Potao представлял из себя слово krim (Крым).
В марте 2014 г. преступная группа переключилась на использование нового вектора распространения Potao. Они начали использовать т. н. «веб-страницу посадки» (landing page) для установки вредоносной программы. Веб-страница называлась MNTExpress. Мы полагаем, что дизайн этого веб-сайта был взят у веб-сайт российской почтовой службы Pony Express.
Рис. 10. Внешний вид веб-страницы службы доставки Pony Express.
Рис. 11. Внешний вид веб-страницы MNTExpress.
Маскировка фишингового сообщения в качестве уведомления почтовой службы является очень распространенным методом у злоумышленников для распространения вредоносных программ. Инструкции на загрузку вредоносной программы могут располагаться в теле сообщения. Однако, кибергруппа Potao использует иной подход. Предполагаемые жертвы получали SMS-сообщения, которые содержали ссылку на веб-страницу с вредоносной программой. Жертве также отправлялся специальный «код отслеживания» (tracking code), а также имя получателя. Этот метод также является очередным индикатором направленности кибератаки, так как, во-первых, злоумышленникам нужно было провести разведку и получить полное имя жертвы, а также номер ее телефона. Во-вторых, для получения файла вредоносной программы жертве нужно было ввести отправленный ей код в SMS-сообщении.
Рис. 12. SMS-сообщение, отправленное злоумышленниками.
Рис. 13. Один из получателей SMS-сообщения от злоумышленников пытается получить информацию о нем в публичной группе социальной сети vkontakte.
Схожий сценарий распространения вредоносного ПО был использован злоумышленниками уже в марте 2015 г. На этот раз злоумышленники зарегистрировали домен WorldAirPost.com, а дизайн для веб-сайта был взят у почтовой службы Сингапура. Они просто заменили логотип с «Singapore Post» на «Italy Post».
Рис. 14. Внешний вид легитимного веб-сайта почты Сингапура.
Рис. 15. Внешний вид фальшивого веб-сайта WorldAirPost.com.
На момент нашего анализа, злоумышленники были все еще активны, зарегистрировав еще один домен WorldAirPost.net в июне 2015 г. Нужно отметить, что MNTExpress поддерживал два языка русский и английский, а WorldAirPost только английский. При использовании этого веб-сайта, злоумышленники прибегали к маскировке дропперов в качестве документа MS Excel, а не Word.
Кроме этого, вместо отображения decoy-документа (приманка), дроппер показывает пользователю специальное системное сообщение (Рис. 16).
Рис. 16. Системное сообщение, отображаемое дроппером пользователю при запуске в системе.
Начиная с марта 2015 г., наша антивирусная лаборатория обнаруживала вредоносные файлы Potao на компьютерах украинских военных и правительственных организаций, а также на компьютерах одного из крупнейших украинских новостных агентств. Распространяемые дропперы маскировались в качестве документов MS Word и им были присвоены осмысленные названия файлов.
Рис 17. Названия файлов дропперов, которые использовались в кибератаках на высокопоставленные учреждения на Украине.
Видно, что названия файлов указывают на их направленность на военные и правительственные учреждения Украины. Decoy-документ дропперов, видимо, был поврежден (Рис. 18).
Рис. 18. Внешний вид decoy-документа, который был использован в дропперах Potao от 5 марта 2015 г.
Компрометация приложения шифрования TrueCrypt
В процессе мониторинга ботнета Potao, мы обнаружили заражения компьютеров, которые изначально были выполнены другим вредоносным ПО с использованием подозрительных веб-сайтов.
Нами было установлено, что Win32/Potao устанавливался в систему с использованием исполняемого файла с названием TrueCrypt.exe. На первый взгляд в этом не было ничего удивительного, поскольку злоумышленники часто присваивают специальные доверенные названия вредоносным файлам. Однако, в этом случае дело обстояло иначе, поскольку дроппер Potao представлял из себя скомпрометированную версию легитимного ПО для шифрования под названием TrueCrypt. Дальнейшее расследование показало, что такая модификация TrueCrypt распространялась через веб-сайт truecryptrussia.ru. Более того, нам удалось установить факт использования злоумышленниками этого доменного имени в качестве одного из адресов управляющего C&C-сервера. Этот факт приводит нас к мысли о том, что данный сайт не является легитимным, а был изначально задуман владельцами для проведения вредоносных операций. Таким образом, сам веб-сайт и ПО под названием «TrueCrypt Russia» использовались для выполнения следующих вредоносных функций.
- Хостинг вредоносной модификации ПО для шифрования TrueCrypt.
- Как следствие первого пункта, хостинг вредоносного ПО Win32/Potao.
- Адрес веб-сайта использовался в качестве управляющего C&C-сервера для Win32/Potao.
Следует отметить, что не каждый посетитель вышеуказанного веб-сайта загрузит именно вредоносную модификацию TrueCrypt. Механизм загрузки вредоносной копии организован на выборочной основе. Это является еще одним доказательством направленности кибератаки с использованием Potao.
Рис. 19. Веб-страница TrueCrypt Russia.
Согласно нашей статистике ESET LiveGrid, указанный веб-сайт распространял вредоносную версию ПО TrueCrypt, по крайней мере, с июня 2012 г. В данном случае, временные метки файлов вредоносного ПО относятся к апрелю 2012 г.
Грузинская киберкампания
В подтверждение того факта, что злоумышленники, стоящие за Potao, были очень активны даже на момент написания этого исследования, можно привести один из дропперов вредоносной программы с датой компиляции 20 июля 2015 г. Дроппер использовался для компрометации пользователей в Грузии. На этот раз decoy-документ представлял из себя файл PDF.
Рис. 20. Пример decoy-документа из «грузинского дроппера».
ссылка на оригинал статьи http://habrahabr.ru/post/263855/
Добавить комментарий