Кибершпионы атаковали десятки отраслей новым вариантом бэкдора Bandook

Кибершпионы атаковали десятки отраслей новым вариантом бэкдора Bandook

Новый вариант Bandook поддерживает только 11 команд, тогда как предыдущие версии содержали до 120 команд.

image

Киберпреступники, подозреваемые в связях с правительствами Казахстана и Ливана, организовали масштабную вредоносную кампанию по кибершпионажу против множества отраслей и используют новую версию бэкдора 13-летней давности.

Вредоносное ПО Bandook использовалось в кампаниях 2015 и 2017 годов, получивших название Operation Manul и Dark Caracal соответственно. Предполагалось, что данные кампании проводились правительствами Казахстана и Ливана.

Специалисты из компании Check Point Research рассказали об усилиях преступников по развертыванию десятков вариантов трояна Bandook с цифровой подписью для Windows за последний год. Преступники атаковали государственные, финансовые, энергетические организации, IT-компании, юридические учреждения, а также предприятия в сфере пищевой промышленности, здравоохранения и образования на Кипре, в Чили, Германии, Индонезии, Италии, Сингапуре, Швейцарии, Турции и США.

Как полагают эксперты, большое разнообразие целей подтверждает гипотезу о том, что вредоносное ПО не разрабатывается собственными силами злоумышленников и не используется каким-то одним лицом, а является частью наступательной инфраструктуры, продаваемой третьей стороной правительствам и хакерам по всему миру.

Атаки с использованием вредоноса Bandook осуществляются в три этапа. Они начинаются с отправки поддельного документа Microsoft Word в ZIP-файле, который при открытии загружает вредоносные макросы для загрузки и выполнения второго этапа — PowerShell-скрипта, зашифрованного внутри исходного документа Word.

На последнем этапе атаки PowerShell-скрипт используется для загрузки зашифрованных исполняемых частей из служб облачного хранилища, таких как Dropbox или Bitbucket, для сборки загрузчика Bandook, который затем внедряет RAT в новый процесс Internet Explorer.

Bandook RAT обладает всеми возможностями бэкдоров, поскольку устанавливает связь с удаленно управляемым C&C-сервером для получения дополнительных команд, начиная от создания снимков экрана и заканчивая выполнением различных операций с файлами.

Но, по словам специалистов, новый вариант Bandook представляет собой упрощенную версию вредоносного ПО с поддержкой только 11 команд, тогда как предыдущие версии содержали до 120 команд. Это свидетельствует о желании операторов уменьшить количество цифровых следов вредоносного ПО и повысить шансы вредоноса избежать обнаружения.

Кроме того, для подписи новой версии исполняемого файла вредоносного ПО использовались не только действительные сертификаты, выданные Certum. Исследователи обнаружили еще два образца — полнофункциональные варианты с цифровой подписью и неподписанные варианты, которые, предположительно, управляются и продаются одним лицом.


Нидерландах из-за уязвимостей в Microsoft Exchange в магазинах исчез сыр, а в США для устранения последствий взлома сотен компьютеров пришлось привлечь даже ФБР. Смотрите 13 выпуск security-новостей на нашем Youtube канале.