«Лаборатория Касперского» выявила возобновление одной из самых необычных APT-кампаний — Miniduke. Впервые её удалось обнаружить специалистам «Лаборатории» и компаии CrySys Lab в феврале 2013; после этого она заглохла почти на год, чтобы явным образом проявиться в последние недели. Масштаб новой волны атак расширился: если оригинальный Miniduke в основном атаковал правительственные организации в Европе, его новая версия (также известная под названием CosmicDuke) атакует все организации, связанные с правительствами, дипломатическими кругами, энергетикой, телекоммуникациями и оборонными подрядчиками. Интересно и то, что осуществляется также шпионаж за продавцами стероидов. Зачем — неизвестно. Возможно, люди, стоящие за Miniduke, продают свои услуги на сторону, хотя никаких конкретных свидетельств тому пока нет, это лишь предположение. В любом случае, из списка мишеней очевидно, что стоящие за ним люди заинтересованы в получении широкого спектра политической и деловой информации, каковую и собирают с атакованных организаций. И, вероятнее всего, с их поставщиков, поскольку это одна из самых слабых сторон любой крупной организации: у неё самой киберзащита может быть очень прочной, но она не в состоянии проконтролировать статус защиты у своих поставщиков, которые и становятся жертвами «добытчиков».
Miniduke сменил паспорт и взялся за старое.
Tweet
В настоящее время кампания направлена на страны по всему миру; в их числе Австрия, Бельгия, Франция, Германия, Венгрия, Нидерланды, Испания, Украина и США. Анализ одного из контрольных серверов указывает на заражения в Грузии, России, Великобритании, Казахстане, Индии, Беларуси, опять же Украине, на Кипре и в Литве. Командные серверы также активно сканируют потенциальные мишени в Азербайджане и в Греции, что может указывать на планы по дальнейшему расширению зоны деятельности.
Что касается возможного происхождения APT, специалисты «Лаборатории Касперского» выявили в коде кириллические символы и даже ссылки на Mail.ru и Mirea.ru. Miniduke характерным образом отличается от других APT: оригинальная версия использовала бэкдор, написанный на относительно устаревшем языке Assembler; также внимание привлекает его разветвлённая, избыточная C&C-инфраструктура, которая включает множество аккаунтов в Twitter, и форма стеганографии — разработчики рассылают обновления для исполняемых файлов в виде .gif-изображений.
Большая часть этих элементов по-прежнему используются, но добавились и новые функции, преимущественно предназначенные для того, чтобы сбивать исследователей с толку (не очень успешно, как видим). Например, вредоносное ПО может забирать на себя массу вычислительных ресурсов, снижая эффективность антивирусных движков; оригинальный обфускатор; также активно используется шифрование и сжатие по алгоритмам RC4 и LZRW. Разработчики также создали новый бэкдор, используя конструктор BotGenStudio; этот бэкдор (получивший название CosmicDuke и TinyBaron) позволяет похищать широкий диапазон данных, а заодно активировать и деактивировать модули, предназначенные для выполнения конкретных операций.
Эти компоненты делятся на три группы: Сохранность (Persistence) — бот запускается через Windows Task Scheduler в предустановленное время или активируется одновременно со скринсейвером; Разведка (Reconnaissance) — сбор файлов с конкретными расширениями, сбор паролей и общей информации о локальной сети, выкачивание данных из адресных книг и так далее; плюс скриншоты каждые 5 минут; и Вывод данных (Exfiltration).
Увод данных осуществляется четырьмя разными способами как минимум.
Tweet
Для вывода используется несколько разных методов: выгрузка черех FTP и три варианта выгрузки через HTTP — на случай, если какие-либо порты и протоколы перекрыты на местном уровне. Что интересно, вредоносное ПО назначает уникальное кодовое имя для каждой инфицированной машины, так что установленное на ней вредоносное ПО будет получать только те обновления, которые нужны в данном конкретном случае.
Технические подробности доступны на Securelist. Необходимо, однако, упомянуть несколько вещей. Во-первых, это вектор заражения. В прошлом году указывалось, что Miniduke использховал главным образом уязвимости в ПО Adobe: жертвы получали PDF-файлы со встроенными эксплойтами. Позднее был обнаружен дополнительный вектор — заражение через Веб. Обновления к эксплойтам распространяются через .gif-изображения. Для успешного проникновения на компьютер необходимо «соучастие» пользователя — он должен открыть заражённый документ.
Это означает, что компании, связанные с каналами поставок для вышеупомянутых жертв Miniduke, должны уделять особое внимание состоянию программ Adobe на их компьютерах. Атакующие используют простые, но действенные методики социального инженеринга, такие как, например, присваивание документам названий, которые будут вызывать интерес и усыплять бдительность потенциальных жертв. После проникновения в систему зловред (его новая версия) имитирует работу средств обновления для популярных программ — Java, Google Chrome, Adobe, работающих в фоновом режиме.
Имитация весьма точна: иконки и размеры файлов совпадают, так чтобы продвинутые пользователи и системные администраторы ничего не заподозрили. Компаниям, которые могут попасть в прицел Miniduke, рекомендуется срочно усилить меры безопасности и уделить время на то, чтобы проинструктировать своих сотрудников на предмет противодействия фишингу, социальному инженерингу и прочим угрозам. Опять-таки, атака Miniduke оказывается успешной только в том случае, если пользователь этому невольно способствует.