Операторы кампании DNSpionage вооружились новым вредоносным ПО

Киберпреступная группировка, стоящая за операцией DNSpionage, стала более избирательной в выборе жертв и вооружилась новым вредоносным ПО Karkoff в целях повышения эффективности своих кибератак.

По данным FireEye, кампания DNSpionage началась в конце 2017 года, и стоят за ней киберпреступники, действующие в интересах правительства Ирана. В прошлых атаках с помощью поддельных сайтов и взломов DNS злоумышленники перенаправляли трафик с легитимных доменов на вредоносные, для которых использовали бесплатные цифровые сертификаты Let's Encrypt.

Теперь же группировка вооружилась новым инструментом для удаленного администрирования с поддержкой связи с C&C-сервером через HTTP и DNS, сообщают исследователи Cisco Talos. С выхода первого отчета Cisco Talos о DNSpionage в конце 2018 года киберпреступники усовершенствовали свою тактику, добавив в нее дополнительный «разведывательный» этап. С его помощью им удается обходить обнаружение и создавать цифровые отпечатки атакуемой системы.

Своих жертв злоумышленники отбирают очень тщательно и атакуют их с помощью целенаправленного фишинга. Они рассылают жертвам электронные письма со вложенными документами Microsoft Word и Excel, содержащими вредоносные макросы. Во время выполнения через макросы вредоносное ПО переименовывается в «taskwin32.exe», и создается запланированная задача «onedrive updater v10.12.5» для сохранения персистентности вредоноса на системе.

В этом месяце исследователи впервые обнаружили в арсенале группировки вредоносное ПО на .Net под названием Karkoff. По их словам, вредонос является «легковесным» и требует удаленного выполнения через C&C-сервер. Тем не менее, у Karkoff есть интересный элемент. Вредонос генерирует файл журнала, где хранятся выполненные команды с временными метками. То есть, с его помощью жертвы Karkoff смогут проверять, что именно и где произошло.