Скрытные киберпреступники атакуют военных и оружейных подрядчиков

Скрытные киберпреступники атакуют военных и оружейных подрядчиков

Под удар злоумышленников попал поставщик деталей для истребителя F-35 Lightning II.

Совсем недавно аналитики Securonix обнаружили ряд атак, направленных на нескольких военных подрядчиков, включая поставщика деталей для истребителя F-35 Lightning II. Пока ИБ-специалистам не удалось выяснить кто стоит за кибер инцидентами , ведь из зацепок было найдено только небольшое сходство с атаками APT37.

Однако, восстановить сценарий атаки все же удалось. Все начинается с фишингового письма с ZIP-архивом. Распаковав архив, жертва находит LNK-файл под названием "Company & Benefits.pdf.lnk", который выступает в роли дроппера, выполняющего несколько функций:

  • Подключение к C&C-серверу злоумышленников;

  • Запуск PowerShell-скриптов, заражающих систему жертвы вредоносным ПО.

Интересно, что LNK-файл использует не "cmd.exe" или "powershell.exe" для запуска скриптов, а необычную команду "C:\Windows\System32\ForFiles.exe".

Разобравшись со сценарием атаки, специалисты принялись распутывать цепочку выполнения PowerShell-скрипта, состоящую из семи ступеней, каждая из которых сильно обфусцирована. Кроме того, скрипт проверяет список процессов, связанных с программами отладки и мониторинга, обходит песочницу (проверяет, чтобы высота экрана была не менее 777 пикселей, а объем ОЗУ превышал 4 ГБ) и отслеживает дату установки системы (она должна быть установлена на устройстве более трех дней).

Если какая-либо из этих проверок проваливается, скрипт отключает сетевые адаптеры системы, настраивает брандмауэр Windows на блокирование всего трафика, удаляет все данные со всех обнаруженных дисков, а затем выключает компьютер.

Однако, вредонос может выйти из системы не причинив никакого вреда, если язык системы установлен на русский или китайский.

Если все проверки пройдены, скрипт отключает журнал событий PowerShell в Windows и добавляет исключения Windows Defender для файлов ".lnk", ".rar" и ".exe", а также для директорий, необходимых для работы вредоносной программы.

Чтобы закрепиться в системе, вредонос добавляет новые ключи реестра, встраивает свой код в запланированные задания и добавляет себя в автозапуск.

Как только PowerShell-скрипт выполнит всю свою работу, с C&C-сервера загружается конечная полезная нагрузка – файл “header.png”. Эксперты хотели проанализировать этот файл, но не смогли его декодировать. По их мнению, он был заменен после завершения кампании, чтобы предотвратить дальнейший анализ .

Если вам интересно узнать больше технических подробностей, то загляните на сайт Securonix и прочтите предоставленный компанией отчет .

Бэкап знаний создан успешно!

Храним важное в надежном месте

Синхронизируйтесь — подпишитесь