Securonix оборонные предприятия APT37 PowerShell
Под удар злоумышленников попал поставщик деталей для истребителя F-35 Lightning II.
Совсем недавно аналитики Securonix обнаружили ряд атак, направленных на нескольких военных подрядчиков, включая поставщика деталей для истребителя F-35 Lightning II. Пока ИБ-специалистам не удалось выяснить кто стоит за киберинцидентами, ведь из зацепок было найдено только небольшое сходство с атаками
Команда правительственных хакеров из Северной Кореи. Другие возможные названия: Group123, ScarCruft, Reaper. Принадлежность к Северной Корее выдают IP-адреса, временные метки (UTC +8:30) и выбор зарубежных целей, явно отражающий изменения во внешней политике КНДР.
APT37 действует по меньшей мере с 2012 года и нацеливается на государственный и частный секторы, главным образом в Южной Корее. В 2017 году APT37 расширила свою деятельность за пределы Корейского полуострова, охватив Японию, Вьетнам и Ближний Восток, а также более широкий спектр отраслей промышленности, включая химическую, электронную, производственную, аэрокосмическую, автомобильную и медицинскую.
Основные техники APT37:
Распространение вредоносных программ через торрент-сайты.
Запуск целевого фишинга по электронной почте.
Использование различных методов социальной инженерии, чтобы заставить пользователей загружать и запускать поврежденные файлы.
Проникновение в службы и веб-сайты с целью их захвата и использования для распространения вредоносных программ.
"
data-html="true" data-original-title="APT37"
>APT37.
Однако, восстановить сценарий атаки все же удалось. Все начинается с фишингового письма с ZIP-архивом. Распаковав архив, жертва находит LNK-файл под названием "Company & Benefits.pdf.lnk", который выступает в роли дроппера, выполняющего несколько функций:
Подключение к C&C-серверу злоумышленников;
Запуск
Windows PowerShell — оболочка командной строки на основе задач и языков сценариев. Она специально разработана для администрирования систем. Встроенная в .NET Framework, оболочка Windows PowerShell помогает ИТ-специалистам и опытным пользователям контролировать и автоматизировать процесс администрирования операционной системы Windows и приложений, работающих в системе Windows.
"
data-html="true" data-original-title="PowerShell"
>PowerShell-скриптов, заражающих систему жертвы вредоносным ПОю
Интересно, что LNK-файл использует не "cmd.exe" или "powershell.exe" для запуска скриптов, а необычную команду "C:WindowsSystem32ForFiles.exe".
Разобравшись со сценарием атаки, специалисты принялись распутывать цепочку выполнения PowerShell-скрипта, состоящую из семи ступеней, каждая из которых сильно обфусцирована. Кроме того, скрипт проверяет список процессов, связанных с программами отладки и мониторинга, обходит песочницу (проверяет, чтобы высота экрана была не менее 777 пикселей, а объем ОЗУ превышал 4 ГБ) и отслеживает дату установки системы (она должна быть установлена на устройстве более трех дней).
Если какая-либо из этих проверок проваливается, скрипт отключает сетевые адаптеры системы, настраивает брандмауэр Windows на блокирование всего трафика, удаляет все данные со всех обнаруженных дисков, а затем выключает компьютер.
Однако, вредонос может выйти из системы не причинив никакого вреда, если язык системы установлен на русский или китайский.
Если все проверки пройдены, скрипт отключает журнал событий PowerShell в Windows и добавляет исключения Windows Defender для файлов ".lnk", ".rar" и ".exe", а также для директорий, необходимых для работы вредоносной программы.
Чтобы закрепиться в системе, вредонос добавляет новые ключи реестра, встраивает свой код в запланированные задания и добавляет себя в автозапуск.
Как только PowerShell-скрипт выполнит всю свою работу, с C&C-сервера загружается конечная полезная нагрузка – файл “header.png”. Эксперты хотели проанализировать этот файл, но не смогли его декодировать. По их мнению, он был заменен после завершения кампании, чтобы предотвратить дальнейший анализ.
Если вам интересно узнать больше технических подробностей, то загляните на сайт Securonix и прочтите
предоставленный компанией отчет .
SECURITYLAB.RU
