Идеи для ремонта, рецепты пирогов и… взлом правительства. Pinterest еще никогда не был таким опасным

Сотрудникам госучреждений Афганистана в последние недели начали приходить письма с документом, который выглядит как официальное распоряжение из канцелярии премьер-министра. Внутри — убедительная бумага на пушту с гербом, номером, датой и строгими формулировками. Но за аккуратной «официальностью» прячется вредоносная цепочка, рассчитанная на то, чтобы жертва сама запустила заражение.

Аналитики SEQRITE Labs сообщают, что отслеживают новую кампанию, нацеленную на министерства и административные офисы. По их данным, злоумышленники используют приманку в виде правительственного уведомления с финансовыми указаниями и дедлайном. Такой прием создает ощущение срочности и повышает шанс, что документ откроют без лишних проверок.

Начинается атака с ISO-образа, который распространяли через ссылку на GitHub, дополнительно замаскированную сокращателем TinyURL. Файл назывался Afghanistan Islami Emirates.iso и, как отмечают исследователи, впервые попался им в телеметрии 23 декабря, а на следующий день появился и на VirusTotal. Особенность ISO в том, что Windows монтирует его как виртуальный диск, из-за чего некоторые привычные ограничения для скачанных из интернета файлов могут работать слабее.

Внутри образа лежат три объекта. Первый — PDF-приманка, тот самый «официальный» документ. Второй — ярлык Windows с расширением .lnk, который открывает PDF на экране, чтобы не вызвать подозрений, и параллельно запускает следующий этап. Третий — исполняемый файл, переименованный под картинку, например под img.jpg, чтобы на беглый взгляд выглядеть безобидно.

Дальше вступает в игру ярлык. Он копирует «картинку» в каталог C:\ProgramData, а затем использует mklink, чтобы создать жесткую ссылку для автозапуска в папке Startup под именем searchmgr.exe. После этого вредонос запускается и при следующей перезагрузке тоже будет стартовать автоматически. Такой подход делает заражение более живучим и при этом выглядит как обычный системный файл, если не присматриваться.

Финальная нагрузка, которую исследователи обозначили как FALSECUB, написана на C++ и содержит простые механизмы защиты от анализа. Она пытается понять, не запущена ли в отладчике или «песочнице», проверяет окружение и может «усыплять» себя перед завершением работы. Если проверки пройдены, программа связывается с командным сервером и начинает принимать команды.

Среди возможностей — сбор базовой информации о системе, имени пользователя и компьютера, версии Windows, перечня подключенных дисков, а также поиск файлов в папках Desktop и Documents. Для вывода данных используется построение команды curl в скрытом режиме. В запрос добавляются кастомные HTTP-заголовки с «ключом доступа» и сведениями о жертве, а сами файлы отправляются на удаленный endpoint /upload/ на нестандартном порту. Запуск делается так, чтобы пользователь не видел консольного окна, а после выполнения следы по возможности подчищаются.

В инфраструктуре кампании всплывают домены на динамическом DNS и несколько IP-адресов, включая адрес Cloudflare, а также отдельный узел, на котором, по данным исследователей, был доступен RDP на 3389 порту. Интересный след нашелся и в «бытовой» части операции. Распространение велось через свежесозданный GitHub-аккаунт, который появился 23 декабря, а затем, судя по всему, был «зачищен».

По совпадению псевдонима аналитики также связали активность с рядом аккаунтов на Scribd, Pinterest и Dailymotion, где публиковались афганские административные и юридические документы. Отдельные признаки, включая телеметрию VirusTotal по сокращенной ссылке, указывают на Пакистан как на возможную точку происхождения загрузки.

В SEQRITE Labs считают, что кампания, которую они отслеживают под именем Nomad Leopard, выглядит как работа регионального злоумышленника с низкой или средней «взрослостью» инструментов. При этом внимание к деталям в приманках и наличие целой коллекции правдоподобных документов намекают, что подобные рассылки могут продолжиться и выйти за пределы Афганистана.