20 января была зафиксирована атака на цепочку поставок, затронувшая индийскую компанию MicroWorld Technologies, разработчика антивирусного продукта eScan. Представители компании позднее изданию BleepingComputer о том, что злоумышленники взломали один из региональных серверов и подменили там файл обновления антивируса, который был доставлен клиентам. Атака была обнаружена «снаружи» — специалистами из компании Morphisec, которые производителя через день после начала атаки.
Специалисты «Лаборатории Касперского» опубликовали подробный использованного в атаке вредоносного кода. По их оценке, это достаточно необычный вектор атаки —компрометация антивирусного программного обеспечения. При этом атака была тщательно подготовлена: злоумышленники не только взломали сервер обновления, но и разработали вредоносный код так, чтобы наиболее эффективно работать с учетом особенностей компрометируемого легитимного ПО.
Большая часть из зафиксированных телеметрией «Лаборатории Касперского» жертв атаки находилась в странах Южной Азии: конкретно в Индии, Бангладеш, Шри-Ланке и на Филиппинах. В ходе обращения ко взломанному серверу обновления пользователи антивирусного ПО получали вредоносный файл reload.exe. Он сохранялся по пути C:Program Files (x86)escanreload.exe и запускался каждый раз, когда к нему обращались компоненты антивируса. Поддельный файл обновления был подписан невалидной цифровой подписью и сильно обфусцирован. При первом запуске в первую очередь выполнялись действия, затрудняющие дальнейшее обнаружение и удаление вредоносных модулей: удалялись несколько компонентов самого антивируса eScan, в его исключения добавлялись системные папки C:Windows, C:Program Files и C:Program Files (x86). В файл hosts прописывались серверы обновления антивируса с невалидными IP-адресами, что делало невозможным относительно простое решение проблемы для пострадавших пользователей путем рассылки «правильного» апдейта.
Интересно, что в ходе анализа инцидента экспертами «Лаборатории Касперского» eScan заблокировал часть вредоносных действий, включая прописывание серверов обновления в файл hosts. Впрочем, это не помогло сохранить функциональность получения обновлений: при попытке это сделать выводилось сообщение, как на скриншоте выше. И хотя там написано, что «операция была завершена успешно», на самом деле никакой установки обновлений не происходило.
Следующий этап полезной нагрузки отвечал за обход встроенной в Windows защитной функциональности Antimalware Scan Interface (). Для этого одна из функций AMSI под названием AmsiScanBuffer патчилась таким образом, чтобы ее выполнение всегда возвращало ошибку. Затем вредоносный код определял список установленного в системе ПО и завершал работу в случае обнаружения ряда иных защитных решений, включая, например, продукты «Лаборатории Касперского». Вне зависимости от успешного завершения этой проверки, на командные серверы злоумышленников отправлялась информация о системе. Финальная стадия выполнения вредоносного кода модифицировала один из текстовых файлов антивируса eScan так, чтобы в интерфейсе программы создавалось впечатление, будто обновления были загружены совсем недавно.
Еще одной особенностью атаки являлось резервирование методов выполнения вредоносных действий на завершающем этапе. Это делалось как через взломанный антивирус, так и отдельно — через планировщик Windows. Что именно происходило после всех подготовительных операций — неизвестно, так как вредоносный код для этого отдельно загружался с командного сервера и он не был проанализирован. Избавление от вредоносного кода осложнялось тем, что встроенные функции обновления eScan выводились из строя. С другой стороны, обнаружить факт взлома было достаточно легко, в том числе, например, по логам, оставляемым вредоносным модулем в ходе работы и сохраняемым в файл C:ProgramDataeuapp.log.
Что еще произошлоЕще одна экспертов «Лаборатории Касперского» анализирует свежий инструментарий группировки HoneyMyte, также известной как Mustang Panda и Bronze President.
Компания Google обзор новых средств защиты в Android начиная с 16-й версии. В частности, там говорится о наборе технологий (в том числе с использованием ИИ), которые помогают определить факт распространенной в ряде стран кражи телефона, когда его выхватывают из рук на улице. В случае определения такой ситуации телефон моментально блокируется. В Бразилии такая фича будет включена по умолчанию во всех вновь активируемых устройствах на базе Android.
Тем временем в мессенджере WhatsApp набор возможностей Strict Account Settings, который в издании BleepingComputer с режимом Lockdown Mode в смартфонах Apple. У этих двух особо защищенных (и относительно неудобных для обычных пользователей) режимов работы есть схожие черты, например отключение превью присланных ссылок и блокировка любых аттачей, присылаемых незнакомцами.
Внеочередной патч от компании Microsoft эксплуатируемую уязвимость в Microsoft Office. Проблема может быть эксплуатирована только локально: для ее использования злоумышленник должен прислать пользователю вредоносный офисный документ и убедить жертву открыть его.
В серверных ОС Microsoft в ближайшем будущем будет по умолчанию устаревший метод аутентификации NTLM.
