Под удар злоумышленников попал поставщик деталей для истребителя F-35 Lightning II.
Совсем недавно аналитики Securonix обнаружили ряд атак, направленных на нескольких военных подрядчиков, включая поставщика деталей для истребителя F-35 Lightning II. Пока ИБ-специалистам не удалось выяснить кто стоит за кибер инцидентами , ведь из зацепок было найдено только небольшое сходство с атаками APT37.
Однако, восстановить сценарий атаки все же удалось. Все начинается с фишингового письма с ZIP-архивом. Распаковав архив, жертва находит LNK-файл под названием "Company & Benefits.pdf.lnk", который выступает в роли дроппера, выполняющего несколько функций:
Подключение к C&C-серверу злоумышленников;
Запуск PowerShell-скриптов, заражающих систему жертвы вредоносным ПО.
Интересно, что LNK-файл использует не "cmd.exe" или "powershell.exe" для запуска скриптов, а необычную команду "C:\Windows\System32\ForFiles.exe".
Разобравшись со сценарием атаки, специалисты принялись распутывать цепочку выполнения PowerShell-скрипта, состоящую из семи ступеней, каждая из которых сильно обфусцирована. Кроме того, скрипт проверяет список процессов, связанных с программами отладки и мониторинга, обходит песочницу (проверяет, чтобы высота экрана была не менее 777 пикселей, а объем ОЗУ превышал 4 ГБ) и отслеживает дату установки системы (она должна быть установлена на устройстве более трех дней).
Если какая-либо из этих проверок проваливается, скрипт отключает сетевые адаптеры системы, настраивает брандмауэр Windows на блокирование всего трафика, удаляет все данные со всех обнаруженных дисков, а затем выключает компьютер.
Однако, вредонос может выйти из системы не причинив никакого вреда, если язык системы установлен на русский или китайский.
Если все проверки пройдены, скрипт отключает журнал событий PowerShell в Windows и добавляет исключения Windows Defender для файлов ".lnk", ".rar" и ".exe", а также для директорий, необходимых для работы вредоносной программы.
Чтобы закрепиться в системе, вредонос добавляет новые ключи реестра, встраивает свой код в запланированные задания и добавляет себя в автозапуск.
Как только PowerShell-скрипт выполнит всю свою работу, с C&C-сервера загружается конечная полезная нагрузка – файл “header.png”. Эксперты хотели проанализировать этот файл, но не смогли его декодировать. По их мнению, он был заменен после завершения кампании, чтобы предотвратить дальнейший анализ .
Если вам интересно узнать больше технических подробностей, то загляните на сайт Securonix и прочтите предоставленный компанией отчет .
Храним важное в надежном месте