Когда пользователь пытается прочитать пришедший по электронной почте или скачанный с веб-сайта офисный документ, Microsoft Office открывает его в защищенном режиме. Это происходит благодаря одному из защитных механизмов операционной системы Windows — Mark-of-the-Web (MOTW). Он позволяет помечать файлы, появившиеся на компьютере из Интернета, так чтобы приложения знали об источнике их появления и могли обратить внимание пользователя на потенциальную опасность. Однако слепо полагаться на эффективность такого предупреждения не стоит — в последнее время многие злоумышленники начали использовать методы обхода MOTW. В частности, недавно наши эксперты обнаружили среди инструментов группировки BlueNoroff (которая, предположительно, является частью группы Lazarus) уловки, позволяющие обмануть операционную систему.
Как BlueNoroff обходит механизм MOTW
Механизм Mark-of-the-Web работает следующим образом. Как только пользователь (или программа) скачивает файл из глобальной Сети, файловая система NTFS проставляет у него атрибут «из Интернета». Наследуется этот атрибут не всегда. В наиболее очевидных случаях — например, если документ был скачан внутри архива — атрибут сохраняется. Но архив — это далеко не единственный способ передать офисный файл.
Злоумышленники, стоящие за атакой BlueNoroff, начали экспериментировать с использованием новых типов файлов для доставки вредоносных документов. Один из вариантов — формат .iso, часто используемый для хранения образов оптических дисков. Другой — файл формата .vhd, в котором обычно содержится виртуальный жесткий диск. А уже внутри образа или виртуального накопителя находится «полезная нагрузка» — документ-приманка и вредоносный скрипт.
Более подробное техническое описание инструментов и методов BlueNoroff, а также индикаторы компрометации можно найти в посте наших экспертов на сайте Securelist.
Кто такие BlueNoroff и за кем они охотятся
В начале этого года мы уже писали про кампанию SnatchCrypto, направленную на кражу криптовалют. Наши исследователи по ряду признаков считают, что за ней стоит именно группировка BlueNoroff. Активность, наблюдаемая экспертами сегодня, также направлена в первую очередь на получение финансовой выгоды. Собственно финальный этап атаки остался прежним: преступники устанавливают на зараженный компьютер бэкдор.
Группировка зарегистрировала множество доменов, имитирующих венчурные и инвестиционные компании, а также крупные банки. Судя по именам банков, а также по выбранным злоумышленниками документам-приманкам, в данный момент они в первую очередь интересуются целями, использующими японский язык. Впрочем, как минимум одна жертва группировки нашлась и в ОАЭ. Как показывает практика, BlueNoroff интересуются бизнесами связанными с криптовалютами, а также финансовыми компаниями.
Как оставаться в безопасности?
В первую очередь стоит избавиться от иллюзии, что встроенных в ОС защитных механизмов хватит для обеспечения безопасности компании. Например, рассмотренный нами механизм Mark-of-the-Web не гарантирует того, что сотрудник не сможет случайно открыть полученный из Сети файл и запустить вредоносный скрипт. В целом же, для того чтобы вашей компании не угрожали атаки BlueNoroff и аналогичных группировок, наши эксперты рекомендуют:
- устанавливать на все рабочие устройства современные защитные решения — они не допустят запуск скрипта из вредоносного файла;
- поддерживать уровень осведомленности ваших сотрудников о современных киберугрозах — правильно организованное обучение поможет им не попасться на удочку злоумышленников;
- использовать защитные решения класса EDR, а при необходимости сервисы Managed Detection and Response — они позволят вовремя выявить вредоносную активность в рабочей сети и остановить атаку до причинения реального ущерба.