Кибершпионы атаковали десятки отраслей новым вариантом бэкдора Bandook

Киберпреступники, подозреваемые в связях с правительствами Казахстана и Ливана, организовали масштабную вредоносную кампанию по кибершпионажу против множества отраслей и используют новую версию бэкдора 13-летней давности.

Вредоносное ПО Bandook использовалось в кампаниях 2015 и 2017 годов, получивших название Operation Manul и Dark Caracal соответственно. Предполагалось, что данные кампании проводились правительствами Казахстана и Ливана.

Специалисты из компании Check Point Research рассказали об усилиях преступников по развертыванию десятков вариантов трояна Bandook с цифровой подписью для Windows за последний год. Преступники атаковали государственные, финансовые, энергетические организации, IT-компании, юридические учреждения, а также предприятия в сфере пищевой промышленности, здравоохранения и образования на Кипре, в Чили, Германии, Индонезии, Италии, Сингапуре, Швейцарии, Турции и США.

Как полагают эксперты, большое разнообразие целей подтверждает гипотезу о том, что вредоносное ПО не разрабатывается собственными силами злоумышленников и не используется каким-то одним лицом, а является частью наступательной инфраструктуры, продаваемой третьей стороной правительствам и хакерам по всему миру.

Атаки с использованием вредоноса Bandook осуществляются в три этапа. Они начинаются с отправки поддельного документа Microsoft Word в ZIP-файле, который при открытии загружает вредоносные макросы для загрузки и выполнения второго этапа — PowerShell-скрипта, зашифрованного внутри исходного документа Word.

На последнем этапе атаки PowerShell-скрипт используется для загрузки зашифрованных исполняемых частей из служб облачного хранилища, таких как Dropbox или Bitbucket, для сборки загрузчика Bandook, который затем внедряет RAT в новый процесс Internet Explorer.

Bandook RAT обладает всеми возможностями бэкдоров, поскольку устанавливает связь с удаленно управляемым C&C-сервером для получения дополнительных команд, начиная от создания снимков экрана и заканчивая выполнением различных операций с файлами.

Но, по словам специалистов, новый вариант Bandook представляет собой упрощенную версию вредоносного ПО с поддержкой только 11 команд, тогда как предыдущие версии содержали до 120 команд. Это свидетельствует о желании операторов уменьшить количество цифровых следов вредоносного ПО и повысить шансы вредоноса избежать обнаружения.

Кроме того, для подписи новой версии исполняемого файла вредоносного ПО использовались не только действительные сертификаты, выданные Certum. Исследователи обнаружили еще два образца — полнофункциональные варианты с цифровой подписью и неподписанные варианты, которые, предположительно, управляются и продаются одним лицом.